OBS中配置子账号权限实践

OBS中配置子账号权限实践

注：本文实践目的，配置子账号可以登录OBS查看桶，查看对象（文件），上传对象（文件），新建对象，但是无法操作任何关于删除对象的操作

1创建子账号

1.1获取子账号

登录华为云管理控制台，找到右上角用户名，点击选择“统一身份认证”进入下一步

1.2创建用户

此步骤用于创建子账号，在配置中所选用户组，选择power_user（拥有除了用户管理外所有权限的用户组）点击确认

1.3.获取子账号的Ak、SK

退出当前登录的主账号，使用上步骤创建的子账号（即IAM账户）登录华为云，之后点击用户名下的“我的凭证”——“管理访问密钥”——“新增访问密钥”——下载获取子账号的ak，sk文件备用

2.使用OBS Browser登录（可选）

2.1下载OBS Browser客户端

客户端下载地址可以在OBS控制台进行下载，如下图，也可以点击此处（Win 64位） 、MAC

之后使用之前获取的子账号AK 、SK信息进行登录客户端即可。

3.设置桶策略

高级设置下提供三种增加桶策略的方式，方便用户快速设置桶策略。

只读模式：被授权用户将拥有桶内指定对象的读权限，对应可以执行获取对象内容及元数据操作。

读写模式：被授权用户将拥有桶内指定对象的读写权限，对应可以执行获取对象内容及元数据、上传对象、删除对象等操作。

自定义模式：自定义配置被授权用户可以拥有桶或对象的操作权限，由效果、被授权用户、资源、动作和条件5个桶策略基本参数共同决定。

如果桶ACL和桶策略同时使用且两者的授权判定产生冲突时，以桶策略>桶ACL的优先级顺序决定授权结果。桶ACL只能对账号授权，桶策略可以对账号或者账号下的用户授权。

3.1 主账号登录OBS控制台

使用华为云主账号登录OBS控制台，选择需要配置权限的桶，本示例以obs-moviess这个名称作为参考。点击进入此桶，选择“权限”——桶策略下通用设置，选择“私有”——高级设置点击“增加桶策略”，之后进入下一步桶策略设置

3.2桶策略参数设置

策略模式：自定义模式

效果：deny

被授权用户：包含

当前账号（选择之前创建的子账号）

资源：包含

选择哪些资源受此条策略限制，此处是* ，表示桶中所有资源

动作：包含

DeleteObject

DeleteObjectVersion

条件：可选，如有其他个性化动作控制，可以参考文档设置，链接

最后点击确认即可

ACL权限

选项

对应桶策略高级设置中的动作

桶访问权限

读取权限

·         HeadBucket（判断桶是否存在）

·         ListBucket（列举桶内对象，获取桶元数据）

·         ListBucketVersions（列举桶内多版本对象）

·         ListBucketMultipartUploads（列举多段上传任务）

写入权限

·         PutObject（PUT上传，POST上传，上传段，初始化上传段任务，合并段）

·         DeleteObject（删除对象）

·         DeleteObjectVersion（删除特定版本的对象）

4.验证

4.1删除验证

桶的策略完成后，在主账号中上传一个测试文件test.txt ，可以随便写点内容在里面，如：“hello，我是一个文本”

在子账号登录的OBS客户端中，刷新，尝试删除操作，发现删除失败，客户端给出提示“拒绝访问，请检查相应权限”

4.2上传验证

上传一个test2 文本，可以上传成功，如下图

4.3下载验证

点击桶中下载按钮，是可以弹出选择保存的目录，下载到本地

对象存储服务 OBS

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。