标签:访问控制 自己的 LEDE alt editor data- 逗号 object 轻松
上一篇我们介绍了OBS权限管理中统一身份认证和企业项目管理,本期我们继续介绍OBS权限管理中的高级桶策略和ACL应用。
您是否也遇到过类似的问题或者困扰?
1、隔壁的主账户给了子用户创建一个桶,但是没有给他设置桶策略,子账户访问报403,困惑了一整天。
2、楼下是另外一个子账号,为了OBS 控制台报无权限访问,百思不得其解。
3、对面一个子账户上传了一个文件,抓破头也无法分享给其他人。
这些问题或者困扰各不相同,下面将分别介绍高级桶策略和ACL应用来解答这些问题和困惑。
高级桶策略介绍:
桶策略是作用于配置桶策略的单个桶的。同时也提供代码模式配置方法,高级桶策略代码最多不能超过20KB。
(1)Effect,桶策略效果;指定本条策略描述的权限是允许请求还是拒绝请求。
(2)Action,桶策略动作;指定本条策略可以执行的操作。
(3)Condition,策略生效必须满足的条件,详情参考
(4)Resource,资源;资源指桶或对象。您可以指定一个对象或对象集,当指定给对象集时,使用通配符(*),例如:file*。如果不输入,则表示指定资源为桶,且在动作处只能选择与桶相关的。多个资源使用英文逗号分隔。
“domain/账号ID”(表示被授权用户为xxx账号)。
“domain/账号ID:user/用户ID”(表示被授权用户为xxx账号下的xxx用户)
应用案例:
-
配置账号B的一个桶,允许账号A下的a租户只有上传权限,配置如下。其中xxx是需要需要注意的关键配置点。
高级桶策略与IAM授权对比
如下所示为IAM的OBS细粒度权限定义,也需要同时包含桶和对象两条规则
ACL介绍:
基于账号的访问控制。有一个很恰当的比喻:桶owner相当于房东,房东将桶出租给房客(子账户),子账户可以将贵重物品放到自己的房间里,但是房东没有权利去查看。房客可以给房东钥匙(设置对象ACL)赋予房东权限,使其有访问权限。
步骤2.可通过SDK,配置指定主账号具有对象下载权限;
这样对象的上传者,就可以将对象的权限赋予给桶owner。
OBS权限的四种方式随心配,让你轻松掌握权限配置管理。OBS权限管理在助力解决不同应用场景下的数据管理诉求下,为用户带来稳定、安全、高效的云端存储体验。
十分钟从入门到精通(下)——OBS权限配置
标签:访问控制 自己的 LEDE alt editor data- 逗号 object 轻松
原文地址:https://www.cnblogs.com/huaweiyun/p/12922720.html
