文档首页 > > 开发指南> 权限控制> IAM用户策略

IAM用户策略

分享
更新时间: 2019/08/02 14:25

管理员租户可以在“统一身份认证服务”界面设置用户组的策略,然后将IAM用户加到不同用户组组中,从而让用户拥有不同的权限,详细信息请参考:细粒度策略

表1 IAM和OBS相关的用户策略

名称

描述

Tenant Administrator

拥有该权限的用户可以对OBS资源执行任意操作。

Tenant Guest

拥有该权限的用户可以查询OBS资源的利用情况,即仅拥有OBS读权限。

OBS Buckets Viewer

拥有该权限的用户,可以执行列举桶、获取桶基本信息、获取桶元数据。

OBS Viewer

拥有该权限的用户,可以执行列举桶、获取桶基本信息、获取桶元数据、列举对象的操作。

该策略是细粒度授权的系统策略,开启细粒度授权的用户可以使用该策略,并能够以该策略为模板创建自定义策略。

OBS Operator

拥有该权限的用户,可以执行OBS Viewer的所有操作,在此基础上还可以执行上传对象、下载对象、删除对象、获取对象ACL等对象基本操作。

该策略是细粒度授权的系统策略,开启细粒度授权的用户可以使用该策略,并能够以该策略为模板创建自定义策略。

除了上述用户策略外,用户可以没有任何和OBS相关的权限。

一个用户可以加到多个组,如果用户加入多个组后,用户则具有多个组的权限叠加后的权限。比如组1只有OBS Buckets Viewer权限,组2只有Tenant Administrator权限,IAM用户加入组1同时也加入组2,则用户拥有OBS Buckets Viewer和Tenant Administrator叠加后的权限。

拥有Tenant Administrator权限的用户创建桶之后,通过ACL或桶策略将桶授权给拥有Tenant Guest、OBS Buckets Viewer、OBS Viewer、OBS Operator、自定义策略的用户或完全没有OBS权限的用户,从而实现对用户的权限控制。

用户拥有OBS资源权限后,对应在OBS上可以执行的具体操作如表2所示。

表2 OBS操作与资源权限关系

操作名称

Tenant Administrator权限

Tenant Guest权限

OBS Buckets Viewer权限

列举桶

可以

可以

可以

创建桶

可以

不可以

不可以

删除桶

可以

不可以

不可以

获取桶基本信息

可以

可以

可以

获取桶元数据

可以

可以

可以

获取桶监控数据

可以

可以

不可以

管理桶访问权限

可以

不可以

不可以

管理桶策略

可以

不可以

不可以

修改桶存储类别

可以

不可以

不可以

列举对象

可以

可以

不可以

列举多版本对象

可以

可以

不可以

上传文件

可以

不可以

不可以

新建文件夹

可以

不可以

不可以

删除文件

可以

不可以

不可以

删除文件夹

可以

不可以

不可以

下载文件

可以

可以

不可以

删除多版本文件

可以

不可以

不可以

下载多版本文件

可以

不可以

不可以

修改对象存储类别

可以

不可以

不可以

恢复文件

可以

不可以

不可以

取消删除文件

可以

不可以

不可以

删除碎片

可以

不可以

不可以

管理对象访问权限

可以

不可以

不可以

设置对象元数据

可以

不可以

不可以

管理多版本控制

可以

不可以

不可以

管理日志记录

可以

不可以

不可以

管理事件通知

可以

不可以

不可以

管理标签

可以

不可以

不可以

管理生命周期规则

可以

不可以

不可以

管理静态网站托管

可以

不可以

不可以

管理CORS规则

可以

不可以

不可以

管理防盗链

可以

不可以

不可以

域名管理

可以

不可以

不可以

管理跨区域复制

可以

不可以

不可以

管理图片处理

可以

不可以

不可以

自定义用户策略

开启细粒度授权特性的用户,可以根据系统内置策略OBS Viewer作为模板创建自定义策略,能够实现更细粒度的权限管理,详细信息参考:创建自定义策略

创建自定义策略支持的授权项请参考:桶相关授权项对象相关授权项

在企业项目中使用用户策略

同时开启企业项目和细粒度授权的用户,可以在企业项目界面中对每个企业项目进行权限管理,详细信息参考:企业项目权限说明

说明:
  • 在IAM侧为用户组设置策略时,该策略对所有企业项目生效。
  • 在企业管理侧的企业项目管理与人员管理中设置策略时,仅对绑定的企业项目生效。
  • 企业项目和细粒度授权特性逐步在各个区域上线,需要使用这些特性时请确保桶所在区域已经支持。
分享:

    相关文档

    相关产品

文档是否有解决您的问题?

提交成功!

非常感谢您的反馈,我们会继续努力做到更好!

反馈提交失败,请稍后再试!

*必选

请至少选择或填写一项反馈信息

字符长度不能超过200

提交反馈 取消

如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨

跳转到云社区