存储十分钟从入门到精通(上)——对象存储服务OBS权限配置实践

网友投稿 814 2022-05-29

作为公有云的数据底座,大量的应用场景产生的数据都会存储到OBS对象存储服务中,如直播、电商、大数据可视化、机器学习、物联网等。作为公有云的海量存储基础服务, OBS提供了灵活的权限配置功能,解决如共享少部分数据,或者数据全部托出等实际应用场景的管理诉求。

OBS目前有四种权限管理的方式供大家来选择,可以满足您对权限管理的需求。如果您需要设置更复杂的权限策略,控制子用户使用,通过阅读以下内容,四种方式配合使用效果更佳。

以下依次讲解四种方式的使用方式和特点:

1.    统一身份认证服务(IAM)——设置用户组对桶的访问权限,适用于管理多部门人员对OBS资源的访问权限。

2.    企业项目管理——用户只能列举到”自己”的桶。适用多企业项目,需要配合IAM权限。

3.    高级桶策略——实时生效,简单粗暴。适用单个桶灵活设置权限,可以指定任何人用。

4.    ACL——指定账户共享,范围小于高级桶策略,但是共享资源更精确。适用于对单个文件有共享读写需求的场景。

统一身份认证服务

介绍:

IAM是一个总开关(相当于一个大超市,提供平台和规则的),各个服务(包括OBS)如果需要提供细粒度服务,就需要和IAM合作(按照IAM细粒度平台的规则),把自己的细粒度控制加入到IAM功能中(相当于超市中入住的品牌)。如果想详细的了解下IAM可参考https://support.huaweicloud.com/usermanual-obs/obs_03_0110.html

【存储】十分钟从入门到精通(上)——对象存储服务OBS权限配置实践

应用场景:如下为 OBS常用操作与系统权限的授权关系,您可以参照该表选择合适的系统权限。https://support.huaweicloud.com/productdesc-obs/obs_03_0045.html。

系统权限和系统角色已经满足大部分使用OBS的场景,但是仍有高端玩家想通过手术刀般精确的方式控制用户组和OBS桶\资源\操作\请求条件的权限,那么IAM权限配置的奥义,duang!的一声出现在您面前——自定义权限配置。

IAM的OBS细粒度权限配置时,可视化视图分为ReadOnly、ReadWrite、ListOnly、Permissions 四大类操作分类,需要仔细关注Action。如下图所示。

特别注意:

这四大类的规则之间其实是没有继承性的,并且包含的相关Action项也并不完全。例如,客户如果只希望策略为允许“只读”,除了需要勾选 ReadOnly 之外,还需要 ListOnly 中的 obs:bucket:ListAllMyBuckets 和 obs:bucket:ListBucket 操作项。

l  没有obs:bucket:ListAllMyBuckets将无法列举所有桶——这对于通过Web页面访问OBS会产生致命影响,因为无法进入OBS控制台,但是对于API访问OBS服务没有影响。

l  没有obs:bucket:ListBucket 将无法列举桶内对象——这对于大数据业务中批量操作对象“列举目录”的操作是必须的。

再例如,如果客户希望策略为允许“读写”,则需要同时勾选 ReadOnly、ReadWrite、ListOnly 中的各目标项,而不是仅仅勾选一个 ReadWrite,如下图所示

策略语法参数::https://support.huaweicloud.com/usermanual-obs/obs_03_0110.html

对象相关授权列表:https://support.huaweicloud.com/api-obs/obs_04_0112.html

例OBS OperateAccess的json模式:

自定义策略示例样例:

此策略表示用户可以对OBS进行任何操作。

{

"Version": "1.1",

"Statement": [

{

"Effect": "Allow",

"Action": [

"obs:*:*"

]

}

]

}

其他自定义策略样例详见:

https://support.huaweicloud.com/usermanual-obs/obs_03_0121.html

自定义权限书写注意事项:

https://support.huaweicloud.com/usermanual-obs/obs_03_0154.html;

应用案例:

配置某一个子用户,通过IAM权限设置,只能从源ip:100.125.125.125访问桶:obs-test,并且只有只读权限(包括查询桶ACL,桶策略,桶cors的权限等)。

步骤1:配置特定操作

步骤2:配置特定资源:

步骤3:配置特定条件,如图中只限制了100.125.125.125的ip对OBS具有访问权限

建议采用最小权限原则,避免数据泄露,造成不必要的损失。

注意事项:

当前要开通IAM的OBS细粒度权限控制特性,务必记得要申请将目标账号加入在目标Region的OBS细粒度特性白名单:

当前IAM细粒度这个超市还处于试用期,OBS这个品牌是一个全局品牌(对应于全局服务概念),但是每个OBS商品是不同地方的生产厂生产的,当前在IAM细粒度超市试用期,OBS商品入驻超市之后,并不是任何一个人都随意买,而是需要在白名单中的人才能买,并且这个白名单当前是按照Region来制作的,四川的客户只能买四川省生成的OBS产品,广东省客户只能买广东省生产的OBS商品,所以需要使用OBS细粒度的客户,必须要申请加入这个白名单(截止2020/2/4)。申请方式如下:

https://support.huaweicloud.com/usermanual-obs/obs_03_0110.html

说明:

l  Resource(资源)级别细粒度授权特性会逐步在各个区域上线,需要使用该特性时请确保桶所在区域已经支持。

l  使用Resource(资源)级别细粒度授权特性前,请提交工单到OBS,申请开通Resource(资源)级别细粒度授权特性白名单。

说明:

由于缓存的存在,对用户、用户组以及企业项目授予OBS相关的角色后,大概需要等待13分钟角色才能生效;授予OBS相关的策略后,大概需要等待5分钟策略才能生效。

企业项目管理:

介绍:

可实现企业项目级别资源隔离,不同企业项目的用户只能列举自己的桶。创建企业项目à迁入资源à添加组à配置权限策略

应用案例:

配置某一个子用户,通过多企业项目+IAM权限,实现单用户对某一个桶有所有权限:

步骤1:IAM控制台创建一个子账号,一个用户组,并把子账号加入到该组;

步骤2:登录进企业项目管理,创建企业项目;

步骤3:迁入指定的桶资源;

步骤4:添加组;

步骤5:配置权限策略;

步骤6:配置成功

注意:权限需要在企业项目管理侧配置,在IAM侧配置可能会导致不生效。

对象存储服务 OBS

版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。

上一篇:Python实现进程同步和通信
下一篇:Linux系统编程-(pthread)线程通信(互斥锁)
相关文章