默认情况下,OBS的资源(桶和对象)都是私有的,只有资源拥有者可以访问OBS资源,其他用户在未经授权的情况下均无OBS访问权限。OBS的权限控制是指通过编写访问策略向其他帐号或者IAM用户授予资源的控制权限。例如,你拥有一个桶,你可以授权一个其他的IAM用户上传对象到你的桶中;你也可以将桶开放给非公有云用户访问,即桶作为一个公共资源,能被互联网上任何人访问。OBS提供多种方式将OBS资源权限授予给他人,资源拥有者可以根据业务需求制定不同的权限控制方案,从而确保数据安全。
OBS提供多种权限控制方式,包括IAM权限、桶策略、对象ACL、桶ACL。各个方式说明及应用场景如表1所示。
方式 |
说明 |
应用场景 |
---|---|---|
IAM权限 |
IAM权限是作用于云资源的,IAM权限定义了允许和拒绝的访问操作,以此实现云资源权限访问控制。管理员创建IAM用户后,需要将用户加入到一个用户组中,IAM可以对这个组授予OBS所需的权限,组内用户自动继承用户组的所有权限。 |
|
桶策略 |
桶策略是作用于所配置的OBS桶及桶内对象的。桶拥有者通过桶策略可为IAM用户或其他帐号授权桶及桶内对象精确的操作权限,是对桶ACL和对象ACL的补充(更多场景下是替代)。 |
|
对象ACL |
基于帐号或用户组的对象级访问控制,对象的拥有者可以通过对象ACL向指定帐号或用户组授予对象基本的读、写权限。 说明:
|
|
桶ACL |
基于帐号或用户组的桶级访问控制,桶的拥有者可以通过桶ACL向指定帐号或用户组授予桶基本的读、写权限。 说明:
|
|
OBS权限控制方式中,对象限时访问、对象ACL、桶ACL和桶策略属于OBS权限。某些服务级的权限(例如创建桶、列举所有桶)无法通过OBS权限进行配置,只能在IAM权限中配置,OBS权限只能作用于资源级(桶和对象)。如果要同时授予OBS服务级权限和资源级权限,必须使用IAM权限,或者IAM权限与OBS权限结合使用。
OBS的权限控制模型中,以下几个要素共同决定了授权的结果:
各个要素的详细介绍,请参见桶策略参数说明。
不同权限控制方式中各个要素的支持情况如表2所示。
方式 |
被授权用户 |
支持的效果 |
被授权资源 |
被授权动作 |
是否支持配置条件 |
---|---|---|---|---|---|
IAM权限 |
IAM用户 |
|
OBS所有资源或指定资源 |
OBS所有操作权限 |
支持 |
桶策略 |
|
|
指定桶及桶内资源 |
OBS所有操作权限 |
支持 |
对象ACL |
|
允许 |
对象 |
|
不支持 |
桶ACL |
|
允许 |
桶 |
|
不支持 |
基于三者的优劣势对比,通常情况下推荐您优先使用IAM权限和桶策略:
无论选择哪种方式,建议尽可能保持统一。随着IAM权限和桶策略数量的增加,权限维护难度将越来越大
何时选择ACL?
OBS权限控制要素中,Effect(效果)包含两种:Allow(允许)和Deny(拒绝),分别表示允许或拒绝执行某操作的权限。
基于最小权限原则,权限控制策略的结果默认为Deny, 显式的Deny始终优先于Allow。例如,IAM权限授权了用户访问对象的权限,但是桶策略拒绝了该用户访问对象的权限,且没有ACL时,该用户不能访问对象。
没有策略授予Allow权限时,默认情况即为Deny权限。当有策略授权Allow权限,且没有其他策略Deny该权限时,Allow的权限才能生效。例如,某个桶已经存在多条Allow权限的桶策略,再新增Allow权限的桶策略,会在原权限的基础上进行叠加,增大用户的权限;如果新增Deny权限的桶策略,则会根据Deny优先原则调整用户的权限,即使Deny策略中定义的动作在其他桶策略中Allow。
桶策略、IAM权限和ACL的Allow和Deny作用结果如图4所示。
公司介绍 我们公司是全球法律服务整合平台,已有的4万多名律师遍布全国359个城市...
服务器租用 硬件是提供三年质保,硬件出现损坏机房有备用硬件、备用机随时都可以...
很多朋友在选择 服务器租用 和 服务器托管 时都会遇到大大小小的问题,那么,都...
将 Kubernetes 与 Ansible 结合实现云端自动化。此外,还可以参照我们的 Ansible...
TOP云 (west.cn)10月17日消息,我们经常说,好 域名 总能被挖掘出应有的价值。...
免费云服务器 试用一年?一年太长了。市面上的确有一些服务器是支持免费试用的,...
什么 邮箱 可以申请 企业邮箱 ?现在可以申请企业邮箱的邮箱服务商其实很多,比...
本文介绍如何通过ECS管理控制台查看突发性能实例的CPU使用率和CPU积分,并通过云...
从Windows云服务器访问外部网络,遇到网络不通的情形,可参考本节内容进行排查。...
基本概念 从数据存储来看,数组存储方式和树的存储方式可以相互转换,即数组可以...