Gestión de permisos
Puede utilizar Identity and Access Management (IAM) para gestionar los permisos de OBS y controlar el acceso a sus recursos. IAM proporciona autenticación de identidad, gestión de permisos y control de acceso.
Puede crear usuarios de IAM para sus empleados y asignar permisos a estos usuarios sobre la base del principio de privilegio mínimo (PoLP) para controlar su acceso a tipos de recursos específicos. Por ejemplo, puede crear usuarios de IAM para desarrolladores de software y asignar permisos específicos para permitirles usar los recursos de OBS, pero evitar que eliminen los recursos o realicen las operaciones de alto riesgo.
Si su cuenta de Huawei Cloud no requiere usuarios individuales de IAM para la administración de permisos, omita esta sección.
IAM se puede utilizar de forma gratuita. Solo paga por los recursos de tu cuenta. Para obtener más información acerca de IAM, consulte ¿Qué es IAM?
Permisos de OBS
De forma predeterminada, los nuevos usuarios de IAM no tienen ningún permiso asignado. Para asignar permisos a estos nuevos usuarios, agréguelos a uno o más grupos y adjunte directivas o roles de permisos a estos grupos.
OBS es un servicio global implementado y accedido sin especificar ninguna región física. Los permisos de OBS se asignan a los usuarios del proyecto global y los usuarios no necesitan cambiar de región al acceder a OBS.
Puede conceder permisos a los usuarios mediante roles y políticas.
- Roles: Un tipo de mecanismo de autorización de granularidad gruesa que proporciona solo una cantidad limitada de roles de nivel de servicio. Al usar roles para conceder permisos, también debe asignar roles de dependencia. Sin embargo, los roles no son una opción ideal para la autorización detallada y el control de acceso seguro.
- Políticas: Un tipo de mecanismo de autorización detallado que define los permisos necesarios para realizar operaciones en recursos de nube específicos bajo ciertas condiciones. Este mecanismo permite una autorización más flexible basada en políticas para un control de acceso seguro. Por ejemplo, puede conceder a los usuarios de OBS únicamente los permisos para administrar un determinado tipo de recursos de OBS. La mayoría de las políticas definen permisos basados en las API. Sobre las acciones de API admitidas por OBS, consulta Permisos y acciones admitidas.
Debido al almacenamiento en caché de datos, un rol y una política que implique acciones de OBS entrarán en vigor entre 10 y 15 minutos después de que se adjunte a un usuario, un proyecto de empresa y un grupo de usuarios.
Tabla 1enumera todos los permisos del sistema de OBS.
|
Nombre de rol/política |
Descripción |
Tipo |
Dependencia |
|---|---|---|---|
|
Tenant Administrator |
Los usuarios con este permiso pueden realizar todas las operaciones en todos los servicios excepto IAM. |
Rol definido por el sistema |
Ninguna |
|
Tenant Guest |
Los usuarios con este permiso pueden realizar las operaciones de solo lectura en todos los servicios excepto IAM. |
Rol definido por el sistema |
Ninguna |
|
OBS Administrator |
Los usuarios con este permiso son administradores de OBS y pueden realizar cualquier operación en todos los recursos de OBS bajo la cuenta. |
Política definida por el sistema |
Ninguna |
|
OBS Buckets Viewer |
Los usuarios con este permiso pueden enumerar buckets, obtener información básica del bucket y obtener metadatos del bucket. |
Rol definido por el sistema |
Ninguna |
|
OBS ReadOnlyAccess |
Los usuarios con este permiso pueden enumerar buckets, obtener información básica del bucket, obtener metadatos del bucket y enumerar objetos (no los objetos que se han versionado).
NOTA:
Si un usuario con este permiso no puede enumerar objetos en la consola de OBS, es posible haber varias versiones de objetos en el bucket. En este caso, debe conceder al usuario el permiso obs:bucket:ListBucketVersions para que el usuario pueda ver diferentes versiones de objetos en la consola de OBS. |
Política definida por el sistema |
Ninguna |
|
OBS OperateAccess |
Los usuarios con este permiso pueden realizar todas OBS ReadOnlyAccess las operaciones y realizar operaciones básicas de objetos, como cargar, descargar, eliminar y obtener ACL de objetos.
NOTA:
Si un usuario con este permiso no puede enumerar objetos en la consola de OBS, es posible haber varias versiones de objetos en el bucket. En este caso, debe conceder al usuario el permiso obs:bucket:ListBucketVersions para que el usuario pueda ver diferentes versiones de objetos en la consola de OBS. |
Política definida por el sistema |
Ninguna |
Tabla 2 enumera las operaciones comunes soportadas por cada política o función definida por el sistema de OBS. Seleccione las políticas según sea necesario.
|
Operación |
Tenant Administrator |
Tenant Guest |
OBS Administrator |
OBS Buckets Viewer |
OBS ReadOnlyAccess |
OBS OperateAccess |
|---|---|---|---|---|---|---|
|
Enumeración de buckets |
Sí |
Sí |
Sí |
Sí |
Sí |
Sí |
|
Creación de buckets |
Sí |
No |
Sí |
No |
No |
No |
|
Eliminación de buckets |
Sí |
No |
Sí |
No |
No |
No |
|
Obtención de información básica del bucket |
Sí |
Sí |
Sí |
Sí |
Sí |
Sí |
|
Control de acceso al bucket |
Sí |
No |
Sí |
No |
No |
No |
|
Gestión de políticas de bucket |
Sí |
No |
Sí |
No |
No |
No |
|
Modificación de clases de almacenamiento de buckets |
Sí |
No |
Sí |
No |
No |
No |
|
Enumeración de objetos |
Sí |
Sí |
Sí |
No |
Sí |
Sí |
|
Enumeración de objetos con varias versiones |
Sí |
Sí |
Sí |
No |
No |
No |
|
Carga de archivos |
Sí |
No |
Sí |
No |
No |
Sí |
|
Creación de carpetas |
Sí |
No |
Sí |
No |
No |
Sí |
|
Eliminación de archivos |
Sí |
No |
Sí |
No |
No |
Sí |
|
Eliminación de carpetas |
Sí |
No |
Sí |
No |
No |
Sí |
|
Descarga de archivos |
Sí |
Sí |
Sí |
No |
No |
Sí |
|
Eliminación de archivos con varias versiones |
Sí |
No |
Sí |
No |
No |
Sí |
|
Descarga de archivos con varias versiones |
Sí |
Sí |
Sí |
No |
No |
Sí |
|
Modificación de clases de almacenamiento de objetos |
Sí |
No |
Sí |
No |
No |
No |
|
Restauración de archivos |
Sí |
No |
Sí |
No |
No |
No |
|
Cancelación de la eliminación de archivos |
Sí |
No |
Sí |
No |
No |
Sí |
|
Eliminación de fragmentos |
Sí |
No |
Sí |
No |
No |
Sí |
|
Control del acceso a objetos |
Sí |
No |
Sí |
No |
No |
No |
|
Configuración de metadatos de objeto |
Sí |
No |
Sí |
No |
No |
No |
|
Obtención de metadatos de objeto |
Sí |
Sí |
Sí |
No |
No |
Sí |
|
Gestión de versiones |
Sí |
No |
Sí |
No |
No |
No |
|
Gestión de registros |
Sí |
No |
Sí |
No |
No |
No |
|
Gestión de notificaciones de eventos |
Sí |
No |
Sí |
No |
No |
No |
|
Gestión de etiquetas |
Sí |
No |
Sí |
No |
No |
No |
|
Gestión de reglas del ciclo de vida |
Sí |
No |
Sí |
No |
No |
No |
|
Gestión de alojamiento web estático |
Sí |
No |
Sí |
No |
No |
No |
|
Gestión de reglas CORS |
Sí |
No |
Sí |
No |
No |
No |
|
Gestión de la validación de URL |
Sí |
No |
Sí |
No |
No |
No |
|
Gestión de nombres de dominio |
Sí |
No |
Sí |
No |
No |
No |
|
Gestión de replicación entre regiones |
Sí |
No |
Sí |
No |
No |
No |
|
Gestión del procesamiento de imágenes |
Sí |
No |
Sí |
No |
No |
No |
|
Anexo de objetos |
Sí |
No |
Sí |
No |
No |
Sí |
|
Configuración de la ACL del objeto |
Sí |
No |
Sí |
No |
No |
No |
|
Configuración de la ACL para un objeto de una versión especificada |
Sí |
No |
Sí |
No |
No |
No |
|
Obtención de información de ACL de objeto |
Sí |
Sí |
Sí |
No |
No |
Sí |
|
Obtención de la información de ACL de una versión de objeto especificada |
Sí |
Sí |
Sí |
No |
No |
Sí |
|
Carga en el modo multiparte |
Sí |
No |
Sí |
No |
No |
Sí |
|
Enumeración de piezas cargadas |
Sí |
Sí |
Sí |
No |
No |
Sí |
|
Cancelación de tareas multiparte |
Sí |
No |
Sí |
No |
No |
Sí |
|
Configuración de la descompresión en línea |
Sí |
No |
No |
No |
No |
No |
Gestión de permisos de recursos de OBS
Se puede controlar el acceso a los buckets y objetos de OBS mediante permisos de usuario de IAM, políticas de bucket y ACL.
Para obtener más información, consulte Control de permisos de OBS.
