策略授权参考
本章节介绍OBS策略授权场景下支持的策略授权项。
支持的授权项
策略包含系统策略和自定义策略,如果系统策略不满足授权要求,管理员可以创建自定义策略,并通过给用户组授予自定义策略来进行精细的访问控制。策略支持的操作与API相对应,授权项列表说明如下:
- 权限:允许或拒绝对指定资源在特定条件下进行某项操作。
- 对应API接口:自定义策略实际调用的API接口。
- 授权项:自定义策略中支持的Action,在自定义策略中的Action中写入授权项,可以实现授权项对应的权限功能。
- 依赖的授权项:部分Action存在对其他Action的依赖,需要将依赖的Action同时写入授权项,才能实现对应的权限功能。
- IAM项目(Project)/企业项目(Enterprise Project):自定义策略的授权范围,包括IAM项目与企业项目。授权范围如果同时支持IAM项目和企业项目,表示此授权项对应的自定义策略,可以在IAM和企业管理两个服务中给用户组授权并生效。如果仅支持IAM项目,不支持企业项目,表示仅能在IAM中给用户组授权并生效,如果在企业管理中授权,则该自定义策略不生效。管理员可以在授权项列表中查看授权项是否支持IAM项目或企业项目,“√”表示支持,“×”表示暂不支持。关于IAM项目与企业项目的区别,详情请参见:IAM与企业管理的区别。
OBS的支持自定义策略授权项如下所示:
桶相关授权项
|
权限 |
对应API接口 |
授权项(Action) |
IAM项目(Project) |
企业项目(Enterprise Project) |
|---|---|---|---|---|
|
列举全部桶 |
obs:bucket:ListAllMyBuckets |
√ |
√ |
|
|
创建桶 |
obs:bucket:CreateBucket |
√ |
√ |
|
|
列举桶内对象 |
obs:bucket:ListBucket |
√ |
√ |
|
|
列举桶内多版本对象 |
obs:bucket:ListBucketVersions |
√ |
√ |
|
|
判断桶是否存在并获取桶的元数据 |
obs:bucket:HeadBucket |
√ |
√ |
|
|
获取桶位置 |
obs:bucket:GetBucketLocation |
√ |
√ |
|
|
删除桶 |
obs:bucket:DeleteBucket |
√ |
√ |
|
|
设置桶策略 |
obs:bucket:PutBucketPolicy |
√ |
√ |
|
|
获取桶策略配置的相关信息 |
obs:bucket:GetBucketPolicy |
√ |
√ |
|
|
删除桶策略 |
obs:bucket:DeleteBucketPolicy |
√ |
√ |
|
|
设置桶ACL |
obs:bucket:PutBucketAcl |
√ |
√ |
|
|
获取桶ACL的相关信息 |
obs:bucket:GetBucketAcl |
√ |
√ |
|
|
设置桶日志记录 |
obs:bucket:PutBucketLogging |
√ |
√ |
|
|
获取桶日志记录的相关信息 |
obs:bucket:GetBucketLogging |
√ |
√ |
|
|
设置和删除桶生命周期规则 |
obs:bucket:PutLifecycleConfiguration |
√ |
√ |
|
|
获取桶生命周期规则 |
obs:bucket:GetLifecycleConfiguration |
√ |
√ |
|
|
设置多版本 |
obs:bucket:PutBucketVersioning |
√ |
√ |
|
|
获取桶多版本的相关信息 |
obs:bucket:GetBucketVersioning |
√ |
√ |
|
|
设置桶默认存储类型 |
obs:bucket:PutBucketStoragePolicy |
√ |
√ |
|
|
获取桶默认存储类型 |
obs:bucket:GetBucketStoragePolicy |
√ |
√ |
|
|
设置桶的跨区域复制配置 |
obs:bucket:PutReplicationConfiguration |
√ |
√ |
|
|
获取桶的跨区域复制配置 |
obs:bucket:GetReplicationConfiguration |
√ |
√ |
|
|
删除桶的跨区域复制配置 |
obs:bucket:DeleteReplicationConfiguration |
√ |
√ |
|
|
设置桶标签 |
obs:bucket:PutBucketTagging |
√ |
√ |
|
|
获取桶标签 |
obs:bucket:GetBucketTagging |
√ |
√ |
|
|
删除桶标签 |
obs:bucket:DeleteBucketTagging |
√ |
√ |
|
|
设置桶配额 |
obs:bucket:PutBucketQuota |
√ |
√ |
|
|
获取桶配额 |
obs:bucket:GetBucketQuota |
√ |
√ |
|
|
获取桶存量信息 |
obs:bucket:GetBucketStorage |
√ |
√ |
|
|
设置桶清单 |
obs:bucket:PutBucketInventoryConfiguration |
√ |
√ |
|
|
获取和列举桶清单 |
obs:bucket:GetBucketInventoryConfiguration |
√ |
√ |
|
|
删除桶清单 |
obs:bucket:DeleteBucketInventoryConfiguration |
√ |
√ |
|
|
设置桶的自定义域名 |
obs:bucket:PutBucketCustomDomainConfiguration |
√ |
√ |
|
|
获取桶的自定义域名 |
obs:bucket:GetBucketCustomDomainConfiguration |
√ |
√ |
|
|
删除桶的自定义域名 |
obs:bucket:DeleteBucketCustomDomainConfiguration |
√ |
√ |
|
|
设置和删除桶的加密配置 |
obs:bucket:PutEncryptionConfiguration |
√ |
√ |
|
|
获取桶的加密配置 |
obs:bucket:GetEncryptionConfiguration |
√ |
√ |
|
|
设置桶归档存储对象直读策略 |
obs:bucket:PutDirectColdAccessConfiguration |
√ |
√ |
|
|
获取桶归档存储对象直读策略 |
obs:bucket:GetDirectColdAccessConfiguration |
√ |
√ |
|
|
删除桶归档存储对象直读策略 |
obs:bucket:DeleteDirectColdAccessConfiguration |
√ |
√ |
|
|
设置桶的静态网站托管 |
obs:bucket:PutBucketWebsite |
√ |
√ |
|
|
获取桶的静态网站配置的相关信息 |
obs:bucket:GetBucketWebsite |
√ |
√ |
|
|
删除桶的静态网站托管配置 |
obs:bucket:DeleteBucketWebsite |
√ |
√ |
|
|
设置和删除桶CORS |
obs:bucket:PutBucketCORS |
√ |
√ |
|
|
获取桶CORS配置的相关信息 |
obs:bucket:GetBucketCORS |
√ |
√ |
|
|
删除解压策略 |
obs:notificationPolicy:DeleteDecompressRules |
√ |
√ |
|
|
配置桶级默认WORM策略 |
obs:bucket:PutBucketObjectLockConfiguration |
√ |
√ |
|
|
获取桶级默认WORM策略 |
obs:bucket:GetBucketObjectLockConfiguration |
√ |
√ |
|
|
设置桶级阻止公开访问配置 |
obs:bucket:PutBucketPublicAccessBlock |
√ |
√ |
|
|
获取桶级阻止公开访问配置 |
obs:bucket:GetBucketPublicAccessBlock |
√ |
√ |
|
|
删除桶级阻止公开访问配置 |
obs:bucket:DeleteBucketPublicAccessBlock |
√ |
√ |
|
|
获取桶公开状态 |
obs:bucket:GetBucketPublicStatus |
√ |
√ |
|
|
获取桶策略公开状态 |
obs:bucket:GetBucketPolicyPublicStatus |
√ |
√ |
|
|
列举桶中已初始化多段任务 |
obs:bucket:ListBucketMultipartUploads |
√ |
√ |
对象相关授权项
|
权限 |
对应API接口 |
授权项(Action) |
IAM项目(Project) |
企业项目(Enterprise Project) |
|---|---|---|---|---|
|
可用作于PUT上传对象,POST上传对象,复制对象,追加写对象,初始化上传段任务,上传段,拷贝段,合并段,修改写对象,截断对象,重命名对象 |
obs:object:PutObject |
√ |
√ |
|
|
获取对象内容和对象元数据 |
obs:object:GetObject |
√ |
√ |
|
|
获取指定版本对象内容和对象元数据 |
obs:object:GetObjectVersion |
√ |
√ |
|
|
单个删除和批量删除对象 |
obs:object:DeleteObject |
√ |
√ |
|
|
单个删除和批量删除指定版本对象 |
obs:object:DeleteObjectVersion |
√ |
√ |
|
|
恢复归档存储对象 |
obs:object:RestoreObject |
√ |
√ |
|
|
设置对象ACL |
obs:object:PutObjectAcl |
√ |
√ |
|
|
设置指定版本对象ACL |
obs:object:PutObjectVersionAcl |
√ |
√ |
|
|
获取对象ACL的相关信息 |
obs:object:GetObjectAcl |
√ |
√ |
|
|
获取指定版本对象ACL的相关信息 |
obs:object:GetObjectVersionAcl |
√ |
√ |
|
|
修改对象元数据 |
obs:object:ModifyObjectMetaData |
√ |
√ |
|
|
列举已上传段 |
obs:object:ListMultipartUploadParts |
√ |
√ |
|
|
取消多段上传任务 |
obs:object:AbortMultipartUpload |
√ |
√ |
|
|
设置对象标签 |
obs:object:PutObjectTagging |
√ |
√ |
|
|
获取对象标签 |
obs:object:GetObjectTagging |
√ |
√ |
|
|
删除对象标签 |
obs:object:DeleteObjectTagging |
√ |
√ |
|
|
配置对象级WORM保护策略 |
obs:object:PutObjectRetention |
√ |
√ |
|
|
获取对象级WORM保护策略 |
obs:object:GetObjectRetention |
√ |
√ |
