Gestión de permisos
Puede utilizar Identity and Access Management (IAM) para gestionar los permisos de OBS y controlar el acceso a sus recursos. IAM proporciona autenticación de identidad, gestión de permisos y control de acceso.
Puede crear usuarios de IAM para sus empleados y asignar permisos a estos usuarios sobre la base del principio de privilegio mínimo (PoLP) para controlar su acceso a tipos de recursos específicos. Por ejemplo, puede crear usuarios de IAM para desarrolladores de software y asignar permisos específicos para permitirles usar los recursos de OBS, pero evitar que eliminen los recursos o realicen las operaciones de alto riesgo.
Si su cuenta de Huawei Cloud no requiere usuarios individuales de IAM para la administración de permisos, omita esta sección.
IAM se ofrece de forma gratuita. Solo paga por los recursos de su cuenta. Para obtener más información acerca de IAM, consulte ¿Qué es IAM?
Permisos de OBS
De forma predeterminada, los nuevos usuarios de IAM no tienen ningún permiso asignado. Puede asignar permisos a estos usuarios agregándolos a uno o más grupos y adjuntando políticas o roles a los grupos.
OBS es un servicio global desplegado y accedido sin especificar ninguna región física. Los permisos de OBS se asignan a los usuarios del proyecto global y los usuarios no necesitan cambiar de región al acceder a OBS.
Puede conceder permisos a los usuarios mediante roles o políticas.
- Roles: Un tipo de mecanismo de autorización de granularidad gruesa que proporciona solo una cantidad limitada de roles de nivel de servicio. Al usar roles para conceder permisos, también debe asignar roles de dependencia. Sin embargo, los roles no son una opción ideal para la autorización detallada y el control de acceso seguro.
- Políticas: Un tipo de mecanismo de autorización detallado que define los permisos necesarios para realizar operaciones en recursos de nube específicos bajo ciertas condiciones. Este mecanismo permite una autorización más flexible basada en políticas para un control de acceso seguro. Por ejemplo, puede conceder a los usuarios de OBS únicamente los permisos para administrar un determinado tipo de recursos de OBS. La mayoría de las políticas definen permisos basados en API. Para ver las acciones de API compatibles con OBS, consulta Permisos y acciones compatibles.
Debido al almacenamiento en caché de datos, un rol y una política que implique acciones de OBS entrarán en vigor entre 10 y 15 minutos después de que se adjunte a un usuario, un proyecto de empresa y un grupo de usuarios.
Tabla 1 enumera todos los permisos del sistema de OBS.
|
Nombre de rol/política |
Descripción |
Tipo |
Dependencia |
|---|---|---|---|
|
Tenant Administrator |
Le permite realizar todas las operaciones en todos los servicios excepto IAM. |
Rol definido por el sistema |
Ninguna |
|
Tenant Guest |
Le permite realizar operaciones de solo lectura en todos los servicios excepto IAM. |
Rol definido por el sistema |
Ninguna |
|
OBS Administrator |
Le permite realizar cualquier operación en todos los recursos de OBS de la cuenta. |
Política definida por el sistema |
Ninguna |
|
OBS Buckets Viewer |
Le permite enumerar bucket y obtener información básica del bucket y metadatos del bucket. |
Rol definido por el sistema |
Ninguna |
|
OBS ReadOnlyAccess |
Le permite enumerar bucket, obtener información básica del bucket y metadatos del bucket, y enumerar objetos (excluidos los objetos versionados).
NOTA:
Si un usuario con este permiso no puede enumerar objetos en OBS Console, es posible haber varias versiones de objetos en el bucket. En este caso, debe conceder al usuario el permiso obs:bucket:ListBucketVersions para que el usuario pueda ver diferentes versiones de objetos en OBS Console. |
Política definida por el sistema |
Ninguna |
|
OBS OperateAccess |
Permite realizar todas las operaciones definidas en OBS ReadOnlyAccess y realizar operaciones básicas de objetos, como cargar objetos, descargar objetos, eliminar objetos y obtener ACL de objetos.
NOTA:
Si un usuario con este permiso no puede enumerar objetos en OBS Console, es posible haber varias versiones de objetos en el bucket. En este caso, debe conceder al usuario el permiso obs:bucket:ListBucketVersions para que el usuario pueda ver diferentes versiones de objetos en OBS Console. |
Política definida por el sistema |
Ninguna |
Tabla 2 enumera las operaciones comunes soportadas por cada política o función definida por el sistema de OBS. Seleccione las políticas según sea necesario.
|
Operación |
Tenant Administrator |
Tenant Guest |
OBS Administrator |
OBS Buckets Viewer |
OBS ReadOnlyAccess |
OBS OperateAccess |
|---|---|---|---|---|---|---|
|
Enumeración de buckets |
Sí |
Sí |
Sí |
Sí |
Sí |
Sí |
|
Creación de buckets |
Sí |
No |
Sí |
No |
No |
No |
|
Eliminación de buckets |
Sí |
No |
Sí |
No |
No |
No |
|
Obtención de información básica del bucket |
Sí |
Sí |
Sí |
Sí |
Sí |
Sí |
|
Control de acceso al bucket |
Sí |
No |
Sí |
No |
No |
No |
|
Gestión de políticas de bucket |
Sí |
No |
Sí |
No |
No |
No |
|
Modificación de clases de almacenamiento de buckets |
Sí |
No |
Sí |
No |
No |
No |
|
Enumeración de objetos |
Sí |
Sí |
Sí |
No |
Sí |
Sí |
|
Enumeración de objetos con varias versiones |
Sí |
Sí |
Sí |
No |
No |
No |
|
Carga de archivos |
Sí |
No |
Sí |
No |
No |
Sí |
|
Creación de carpetas |
Sí |
No |
Sí |
No |
No |
Sí |
|
Eliminación de archivos |
Sí |
No |
Sí |
No |
No |
Sí |
|
Eliminación de carpetas |
Sí |
No |
Sí |
No |
No |
Sí |
|
Descarga de archivos |
Sí |
Sí |
Sí |
No |
No |
Sí |
|
Eliminación de archivos con varias versiones |
Sí |
No |
Sí |
No |
No |
Sí |
|
Descarga de archivos con varias versiones |
Sí |
Sí |
Sí |
No |
No |
Sí |
|
Modificación de clases de almacenamiento de objetos |
Sí |
No |
Sí |
No |
No |
No |
|
Restauración de archivos |
Sí |
No |
Sí |
No |
No |
No |
|
Cancelación de la eliminación de archivos |
Sí |
No |
Sí |
No |
No |
Sí |
|
Eliminación de fragmentos |
Sí |
No |
Sí |
No |
No |
Sí |
|
Control del acceso a objetos |
Sí |
No |
Sí |
No |
No |
No |
|
Configuración de metadatos de objeto |
Sí |
No |
Sí |
No |
No |
No |
|
Obtención de metadatos de objeto |
Sí |
Sí |
Sí |
No |
No |
Sí |
|
Gestión de versiones |
Sí |
No |
Sí |
No |
No |
No |
|
Gestión de registros |
Sí |
No |
Sí |
No |
No |
No |
|
Gestión de etiquetas de |
Sí |
No |
Sí |
No |
No |
No |
|
Gestión de reglas del ciclo de vida |
Sí |
No |
Sí |
No |
No |
No |
|
Gestión de alojamiento web estático |
Sí |
No |
Sí |
No |
No |
No |
|
Gestión de reglas de CORS |
Sí |
No |
Sí |
No |
No |
No |
|
Gestión de la validación de URL |
Sí |
No |
Sí |
No |
No |
No |
|
Gestión de nombres de dominio |
Sí |
No |
Sí |
No |
No |
No |
|
Gestión de replicación entre regiones |
Sí |
No |
Sí |
No |
No |
No |
|
Gestión del procesamiento de imágenes |
Sí |
No |
Sí |
No |
No |
No |
|
Anexo de objetos |
Sí |
No |
Sí |
No |
No |
Sí |
|
Configuración de la ACL del objeto |
Sí |
No |
Sí |
No |
No |
No |
|
Configuración de la ACL para un objeto de una versión especificada |
Sí |
No |
Sí |
No |
No |
No |
|
Obtención de información de ACL de objeto |
Sí |
Sí |
Sí |
No |
No |
Sí |
|
Obtención de la información de ACL de una versión de objeto especificada |
Sí |
Sí |
Sí |
No |
No |
Sí |
|
Carga en el modo multiparte |
Sí |
No |
Sí |
No |
No |
Sí |
|
Enumeración de piezas cargadas |
Sí |
Sí |
Sí |
No |
No |
Sí |
|
Cancelación de cargas de varias parte |
Sí |
No |
Sí |
No |
No |
Sí |
|
Configuración de la descompresión en línea |
Sí |
No |
No |
No |
No |
No |
Gestión de permisos de recursos de OBS
Se puede controlar el acceso a los buckets y objetos de OBS mediante permisos de usuario de IAM, políticas de bucket y ACL.
Para obtener más información, consulte Control de permisos de OBS.
