文档首页 > > 最佳实践> 企业数据权限控制> 部门公共数据权限管理

部门公共数据权限管理

分享
更新时间: 2019/06/25 GMT+08:00

企业日常有大量工作文件需要存档,但并不希望花费大量的人力、物力在存储资源上。因此该企业开通了OBS,用于存储日常工作文件,并希望为不同职能部门的员工设置不同的访问权限,以此达到不同部门人员访问公司数据的权限隔离。

对于存储在OBS中的部门公共数据,企业希望管理员用户拥有完全控制权限,普通用户仅拥有只读权限,可以在OBS执行基本的数据读取操作,其逻辑关系如图1所示。

图1 逻辑关系

方案及流程

在此场景下可以通过简单的IAM策略方式进行授权。将普通用户所在用户组权限设置为“Tenant Guest”,即可使普通用户以访客角色访问OBS,对OBS仅拥有只读权限。操作流程如图2所示。

图2 部门公共数据权限管理流程

详细配置步骤

  1. 创建管理员用户

    1. 使用企业账号登录华为云控制台首页。
    2. 在控制台首页选择“所有服务 > 管理与部署 > 统一身份认证服务(IAM)”,进入IAM控制台。
    3. 在IAM控制台,单击左侧导航栏中的“用户”。
    4. 单击“创建用户”,在“创建用户”界面,输入“用户名”并配置以下参数:
      • 凭证类型:选择“密码”。
      • 所属用户组:选择“admin”用户组。
    5. 单击“下一步”,选择“密码生成方式”为“自定义”。
    6. 输入“邮箱”、“手机”、“密码”和“确认密码”。
    7. 单击“确定”,完成创建管理员用户。

  2. 创建具有只读权限的用户组

    1. 在IAM控制台,单击左侧导航栏中的“用户组”。
    2. 单击“创建用户组”,输入“用户组名称”及“描述”。
    3. 单击“确定”。

      返回用户组列表,用户组列表中将显示新创建的用户组。

    4. 单击新创建用户组“操作”列的“权限配置”。
    5. 在“用户组权限”区域,单击“对象存储服务”项目后的“设置策略”。
    6. 在可选策略列表中,选择“Tenant Guest”策略。
    7. 单击“确定”,保存用户组权限。

  3. 创建普通用户

    1. 在IAM控制台,单击左侧导航栏中的“用户”。
    2. 单击“创建用户”,在“创建用户”界面,输入“用户名”并配置以下参数:
      • 凭证类型:选择“密码”。
      • 所属用户组:选择2创建的用户组。
    3. 单击“下一步”,选择“密码生成方式”为“自定义”。
    4. 输入“邮箱”、“手机”、密码和“确认密码”。
    5. 单击“确定”,完成创建用户。

  4. 验证用户权限

    权限授予成功后,普通用户可以通过OBS控制台、OBS Browser以及API&SDK等多种方式验证。此处以在OBS控制台上的操作为例,介绍如何验证普通用户对部门公共数据的只读权限。

    1. 使用普通用户登录OBS控制台,查看是否有权限访问OBS页面。
      • 若显示“没有该页面的访问权限”类似提示,表示当前用户无桶内数据的读取权限,请检查用户权限配置是否正确。
      • 若能显示桶列表,表示当前用户拥有桶列表读取权限,请执行下一步骤。
    2. 单击待操作的桶,进入桶概览页面,单击“对象”查看对象列表。
      • 若无法获取对象列表数据,并显示“拒绝访问,请检查相应权限。”等类似提示,表示当前用户无桶内数据的读取权限,请检查用户权限配置是否正确。
      • 若能显示对象列表,表示当前用户拥有读取权限,请执行下一步骤。
    3. 在“对象”页面,进行上传、删除对象等写删操作。
      • 若能够进行写删,表示普通用户的只读权限配置失败,请检查用户权限配置是否正确。
      • 若不能写删对象,表示普通用户的只读权限配置正确。

分享:

    相关文档

    相关产品

文档是否有解决您的问题?

提交成功!

非常感谢您的反馈,我们会继续努力做到更好!

反馈提交失败,请稍后再试!

*必选

请至少选择或填写一项反馈信息

字符长度不能超过200

提交反馈 取消

如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨

跳转到云社区