很多朋友有这样的顾虑:将资源存储在OBS之后,我的数据足够安全吗?能够灵活配置权限吗?
比如,甲只想把存储在OBS中的资源留给自己访问;乙想把资源分享给自己的某个朋友;丙想把资源共享的权限控制在固定时间段内。总的来说,每个人都有自己的独特需求。
不用怕!OBS全都能hold住,多种多样的权限控制方式任您选择。
访问下载都由我,我的资源我做主。
为什么需要对存储的数据进行权限控制?
举个例子,您企业的员工中有负责软件开发的人员,您希望他们拥有在OBS中访问桶内资源的权限,但是不希望他们拥有删除桶内资源等高危操作的权限,那么您可以使用IAM为开发人员创建用户,通过授予仅能访问桶内资源,但是不允许删除桶内资源的权限策略,控制他们对OBS资源的使用范围。
由此可见,通过配置权限,能够灵活控制OBS资源的使用。
相关概念
- 账号:账户注册华为云后自动创建,该账号对其所拥有的资源和IAM用户具有完全的访问控制权限。
- 管理员:为确保账号及资源的安全性,由账号在IAM中创建的具有“admin”权限的用户,代替账号管理IAM用户。 “admin”是IAM系统预置的、拥有所有操作权限的用户组。管理员加入“admin”用户组后,将与账号拥有相同的资源和用户管理权限。
- IAM用户:由账号或管理员在IAM中创建的用户,是云服务的使用者,对应员工、系统或应用程序,具有身份凭证(密码和访问密钥),可以登录管理控制台或者访问API。
如何对存储的数据进行权限控制?
默认情况下,只有资源拥有者可以访问OBS资源,其他用户在未经授权的情况下均无OBS访问权限。OBS提供多种方式将OBS资源权限授予给他人,资源拥有者可以根据业务需求制定不同的权限控制方案,从而确保数据安全。
权限控制方式包括IAM策略、桶策略、对象策略、桶ACL、对象ACL、对象限时访问、IAM委托,各个方式说明及应用场景如下表所示:
| 方式 | 说明 | 应用场景 |
| IAM策略 | IAM策略是作用于云资源的,IAM策略组定义了允许和拒绝的访问操作,以此实现云资源权限访问控制。管理员创建IAM用户后,需要将用户加入到一个用户组中,IAM可以对这个组授予OBS所需的权限,组内用户自动继承用户组的所有权限。 | l使用策略控制整个云资源的权限时,使用IAM策略授权。 |
| l使用策略控制OBS所有桶和对象的权限时,使用IAM策略授权。 | ||
| l使用策略控制账号下OBS指定资源的权限时,使用IAM策略授权。 | ||
| 桶策略 | 桶策略提供对OBS资源的集中访问控制,可以精确的描述被授权的资源集和操作集,是对桶ACL和对象ACL的扩展和补充。 | l不用IAM策略控制访问权限的情况下,允许其他账号访问OBS资源,可以使用桶策略的方式授权其他账号对应的权限。 |
| l当不同的桶对于不同的IAM用户有不同的访问控制需求时,需使用桶策略分别授权IAM用户不同的权限。 | ||
| l桶拥有者允许其他账号访问自己的桶时,可授权其他账号对应权限。 | ||
| 对象策略 | 对象策略即桶策略针对对象的策略,两者差别在于桶策略作用的资源可以是整个桶或桶内指定的对象,对象策略则只能作用于选定的对象,对应的动作和条件也只能配置与对象相关的。 | 直接针对单个对象配置策略的场景,例如:上传场景下,上传对象完成后,直接配置对象策略,而不用跳转至桶策略页面。 |
| 桶ACL | 基于账号或用户组的桶级权限控制,桶的拥有者可以通过桶ACL向指定账号或用户组授予桶基本的读、写权限。 | l授予日志投递用户组桶写入权限,用以存储桶访问请求日志。 |
| l默认情况下,创建桶时会同步创建ACL,授权拥有者对桶的完全控制权限。 | l授予指定账号桶读取权限和桶写入权限,用以共享桶数据或挂载外部桶。 | |
| l桶ACL的权限控制粒度不如IAM策略和桶策略,一般情况下,建议使用IAM策略和桶策略进行权限访问控制。 | ||
| 对象ACL | 基于账号或用户组的对象级访问控制,对象的拥有者可以通过对象ACL向指定账号或用户组授予对象基本的读、写权限。 | l需要对象级的访问权限控制时。桶策略可以授予对象或对象集访问权限,当授予一个对象集权限后,想对对象集中某一个对象再进行单独授权,通过配置桶策略的方法显然不太实际。此时建议使用对象ACL,使得单个对象的权限控制更加方便。 |
| l默认情况下,创建对象时会同步创建ACL,授权对象拥有者拥有对象的完全控制权限。 | l使用对象链接访问对象时。一般使用对象ACL,将某一个对象通过对象链接开放给匿名用户进行读取操作。 | |
| l对象的拥有者是上传对象的账号,而不是对象所属的桶的拥有者。 | ||
| 对象限时访问 | 对象提供一个自定义时长的有效URL,可用于匿名用户下载或其他应用程序访问。 | l授权给第三方临时下载,不需要鉴权等场景可使用对象限时访问。 |
小课划重点:
几种控制方式中,IAM策略和桶策略使用频率较高,大家可以重点关注哦。想要了解更多权限控制方式内容戳这里。
说到这里,大家会不会觉得功能比较多,不知道怎么用呢。别担心,讲功能不是目的,能够灵活运用才是王道。下一次,OBS云小课将带大家模拟几个典型应用场景,一起学以致用!