OBS中配置子账号权限实践

网友投稿 763 2022-05-30

OBS中配置子账号权限实践

注:本文实践目的,配置子账号可以登录OBS查看桶,查看对象(文件),上传对象(文件),新建对象,但是无法操作任何关于删除对象的操作

1创建子账号

1.1获取子账号

登录华为云管理控制台,找到右上角用户名,点击选择“统一身份认证”进入下一步

1.2创建用户

OBS中配置子账号权限实践

此步骤用于创建子账号,在配置中所选用户组,选择power_user(拥有除了用户管理外所有权限的用户组)点击确认

1.3.获取子账号的Ak、SK

退出当前登录的主账号,使用上步骤创建的子账号(即IAM账户)登录华为云,之后点击用户名下的“我的凭证”——“管理访问密钥”——“新增访问密钥”——下载获取子账号的ak,sk文件备用

2.使用OBS Browser登录(可选)

2.1下载OBS Browser客户端

客户端-可以在OBS控制台进行下载,如下图,也可以点击此处(Win 64位) 、MAC

之后使用之前获取的子账号AK 、SK信息进行登录客户端即可。

3.设置桶策略

高级设置下提供三种增加桶策略的方式,方便用户快速设置桶策略。

只读模式:被授权用户将拥有桶内指定对象的读权限,对应可以执行获取对象内容及元数据操作。

读写模式:被授权用户将拥有桶内指定对象的读写权限,对应可以执行获取对象内容及元数据、上传对象、删除对象等操作。

自定义模式:自定义配置被授权用户可以拥有桶或对象的操作权限,由效果、被授权用户、资源、动作和条件5个桶策略基本参数共同决定。

如果桶ACL和桶策略同时使用且两者的授权判定产生冲突时,以桶策略>桶ACL的优先级顺序决定授权结果。桶ACL只能对账号授权,桶策略可以对账号或者账号下的用户授权。

3.1 主账号登录OBS控制台

使用华为云主账号登录OBS控制台,选择需要配置权限的桶,本示例以obs-moviess这个名称作为参考。点击进入此桶,选择“权限”——桶策略下通用设置,选择“私有”——高级设置点击“增加桶策略”,之后进入下一步桶策略设置

3.2桶策略参数设置

策略模式:自定义模式

效果:deny

被授权用户:包含

当前账号(选择之前创建的子账号)

资源:包含

选择哪些资源受此条策略限制,此处是* ,表示桶中所有资源

动作:包含

DeleteObject

DeleteObjectVersion

条件:可选,如有其他个性化动作控制,可以参考文档设置,链接

最后点击确认即可

ACL权限

选项

对应桶策略高级设置中的动作

桶访问权限

读取权限

·         HeadBucket(判断桶是否存在)

·         ListBucket(列举桶内对象,获取桶元数据)

·         ListBucketVersions(列举桶内多版本对象)

·         ListBucketMultipartUploads(列举多段上传任务)

写入权限

·         PutObject(PUT上传,POST上传,上传段,初始化上传段任务,合并段)

·         DeleteObject(删除对象)

·         DeleteObjectVersion(删除特定版本的对象)

4.验证

4.1删除验证

桶的策略完成后,在主账号中上传一个测试文件test.txt ,可以随便写点内容在里面,如:“hello,我是一个文本”

在子账号登录的OBS客户端中,刷新,尝试删除操作,发现删除失败,客户端给出提示“拒绝访问,请检查相应权限”

4.2上传验证

上传一个test2 文本,可以上传成功,如下图

4.3下载验证

点击桶中下载按钮,是可以弹出选择保存的目录,下载到本地

对象存储服务 OBS

版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。

上一篇:关于 CRM 系统中权限控制设计的一些思路
下一篇:如何在Kubernetes里给PostgreSQL创建secret
相关文章