标签:请求 web 数据业务 四川省 forum -o 统一 不完全 技术
【摘要】作为公有云的数据底座,大量的应用场景产生的数据都会存储到OBS对象存储服务中,如直播、电商、大数据可视化、机器学习、物联网等。作为公有云的海量存储基础服务, OBS提供了灵活的权限配置功能,解决如共享少部分数据或者数据全部托出等实际应用场景的数据管理诉求。
OBS目前有四种权限管理的方式供大家来选择,可以满足您对权限管理的需求。如果您需要设置更复杂的权限策略,控制子用户使用,通过阅读以下内容,四种方式配合使用效果更佳。
-
统一身份认证服务(IAM)——设置用户组对桶的访问权限,适用于管理多部门人员对OBS资源的访问权限。
-
企业项目管理——用户只能列举到”自己”的桶。适用多企业项目,需要配合IAM权限。
-
高级桶策略——实时生效,简单粗暴。适用单个桶灵活设置权限,可以指定任何人用。
-
ACL——指定账户共享,范围小于高级桶策略,但是共享资源更精确。适用于对单个文件有共享读写需求的场景。
统一身份认证服务
系统权限和系统角色已经满足大部分使用OBS的场景,但是仍有高端玩家想通过手术刀般精确的方式控制用户组和OBS桶\资源\操作\请求条件的权限,那么IAM权限配置的奥义,duang!的一声出现在您面前——自定义权限配置。
- IAM的OBS细粒度权限配置时,可视化视图分为ReadOnly、ReadWrite、ListOnly、Permissions 四大类操作分类,需要仔细关注Action。
如下图所示。
这四大类的规则之间其实是没有继承性的,并且包含的相关Action项也并不完全。例如,客户如果只希望策略为允许“只读”,除了需要勾选 ReadOnly 之外,还需要 ListOnly 中的 obs:bucket:ListAllMyBuckets 和 obs:bucket:ListBucket 操作项。
再例如,如果客户希望策略为允许“读写”,则需要同时勾选 ReadOnly、ReadWrite、ListOnly 中的各目标项,而不是仅仅勾选一个 ReadWrite,如下图所示
JSON视图创建:
例OBS OperateAccess的json模式:
{ "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "obs:*:*" ] } ] }
配置某一个子用户,通过IAM权限设置,只能从源ip:100.125.125.125访问桶:obs-test,并且只有只读权限(包括查询桶ACL,桶策略,桶cors的权限等)。
建议采用最小权限原则,避免数据泄露,造成不必要的损失。
OBS细粒度特性白名单
当前要开通IAM的OBS细粒度权限控制特性,务必记得要申请将目标账号加入在目标Region的OBS细粒度特性白名单:
当前IAM细粒度这个超市还处于试用期,OBS这个品牌是一个全局品牌(对应于全局服务概念),但是每个OBS商品是不同地方的生产厂生产的,当前在IAM细粒度超市试用期,OBS商品入驻超市之后,并不是任何一个人都随意买,而是需要在白名单中的人才能买,并且这个白名单当前是按照Region来制作的,四川的客户只能买四川省生成的OBS产品,广东省客户只能买广东省生产的OBS商品,所以需要使用OBS细粒度的客户,必须要申请加入这个白名单(截止2020/2/4)。申请方式如下:
企业项目管理:
可实现企业项目级别资源隔离,不同企业项目的用户只能列举自己的桶。创建企业项目迁入资源添加组配置权限策略
配置某一个子用户,通过多企业项目+IAM权限,实现单用户对某一个桶有所有权限:
注意:权限需要在企业项目管理侧配置,在IAM侧配置可能会导致不生效。
以上内容即为如何进行OBS权限配置的统一身份认证服务(IAM)和企业项目管理两种方式,再下一期我们将继续为大家带来高级桶策略和ACL应用的具体内容,敬请期待。
十分钟从入门到精通(上)——OBS权限配置
标签:请求 web 数据业务 四川省 forum -o 统一 不完全 技术
原文地址:https://www.cnblogs.com/huaweiyun/p/12922683.html
