上一篇我们介绍了OBS权限管理中统一身份认证和企业项目管理,本期我们继续介绍OBS权限管理中的高级桶策略和ACL应用。
您是否也遇到过类似的问题或者困扰?
1、隔壁的主账户给了子用户创建一个桶,但是没有给他设置桶策略,子账户访问报403,困惑了一整天。
2、楼下是另外一个子账号,为了OBS 控制台报无权限访问,百思不得其解。
3、对面一个子账户上传了一个文件,抓破头也无法分享给其他人。
这些问题或者困扰各不相同,下面将分别介绍高级桶策略和ACL应用来解答这些问题和困惑。
高级桶策略介绍:
桶策略是作用于配置桶策略的单个桶的。同时也提供代码模式配置方法,高级桶策略代码最多不能超过20KB。
桶策略参数:
(1)Effect,桶策略效果;指定本条策略描述的权限是允许请求还是拒绝请求。
(2)Action,桶策略动作;指定本条策略可以执行的操作。
(3)Condition,策略生效必须满足的条件,详情参考
https://support.huaweicloud.com/usermanual-obs/obs_03_0120.html
(4)Resource,资源;资源指桶或对象。您可以指定一个对象或对象集,当指定给对象集时,使用通配符(*),例如:file*。如果不输入,则表示指定资源为桶,且在动作处只能选择与桶相关的。多个资源使用英文逗号分隔。
(5)Principal,桶策略被授权用户。
“domain/账号ID”(表示被授权用户为xxx账号)。
“domain/账号ID:user/用户ID”(表示被授权用户为xxx账号下的xxx用户)
控制台:
对应代码模式:
应用案例:
步骤1:配置账号B的一个桶,允许账号A下的a租户只有上传权限,配置如下。
其中账户ID为A账户的账号ID
用户ID为A用户a租户的用户ID
资源为空代表桶本身,配置后a租户可以挂载外部桶但没有对象操作权限。
高级桶策略与IAM授权对比
(1) IAM的OBS细粒度权限直接授权给IAM用户组,而OBS桶的自身细粒度规则目标只能是一个或者多个IAM用户,对于多用户场景创建和维护的效率较低,如下图所示。
(2) IAM的OBS细粒度权限可以包含60个Bucket+Object动作规则,而OBS桶自身的细粒度策略中,支持的Bucket+Object动作规则只有34个,如下图所示。这也就意味着IAM的OBS细粒度权限精细度更高。
(3) IAM的OBS细粒度权限还可以支持“列举所有桶”操作的权限控制,这样的全局性操作控制在OBS桶的自身高级策略中是无法实现的。
(4) OBS桶的自定义桶策略,设定的Bucket访问权限只能针对该桶自己;而一条IAM的OBS细粒度权限则可以同时适配多个目标OBS桶。
(5) OBS桶的自定义桶策略,只能控制IAM用户的OBS访问权限,而不能控制其他云服务对OBS资源的访问权限的。IAM的OBS细粒度权限则可以通过委托授权来控制其他云服务对于OBS资源的访问权限。
(6) 不论是IAM的OBS细粒度权限控制,还是OBS桶自定义的高级桶策略中,桶的访问控制与对象的访问控制是分开定义的,在华为云的OBS服务中,桶的访问控制规则 与 对象的访问控制规则 是分开定义的,当前无法通过一条策略将桶本身和桶内对象都共享出去。
如下所示为OBS桶的自定义高级桶策略:
如下所示为IAM的OBS细粒度权限定义,也需要同时包含桶和对象两条规则
ACL介绍:
基于账号的访问控制。有一个很恰当的比喻:桶owner相当于房东,房东将桶出租给房客(子账户),子账户可以将贵重物品放到自己的房间里,但是房东没有权利去查看。房客可以给房东钥匙(设置对象ACL)赋予房东权限,使其有访问权限。
应用案例:
步骤1:账号A上传,B账号无权限下载
步骤2:可通过SDK,配置指定主账号具有对象下载权限;
上传者使用Java SDK配置指定账号权限。
这样对象的上传者,就可以将对象的权限赋予给桶owner。
点击这里,了解更多精彩内容