Autenticación de identidad y control de acceso
Autenticación de identidad
Puede usar OBS Console, OBS Browser+ (un cliente), obsutil (una herramienta de línea de comandos), API y SDK para acceder a OBS. Independientemente del método que utilice, está accediendo a OBS a través de la API de REST.
Las API de REST de OBS admiten las solicitudes autenticadas y anónimas. Habitualmente habrá solicitudes anónimas en los escenarios que requieren acceso público, por ejemplo, el acceso a un sitio web estático alojado. En la mayoría de los casos, las solicitudes de recursos de OBS deben autenticarse. Una solicitud autenticada debe incluir una firma. La firma se calcula basándose en las claves de acceso del solicitante (un par de AK y SK) que se usan como el factor de encriptación y la información específica incluida en el cuerpo de la solicitud. OBS usa un ID de clave de acceso (AK) y una clave de acceso secreta (SK) juntos para autenticar la identidad de un solicitante. Para obtener más información, consulte Claves de acceso (AK/SK).
Otros escenarios de acceso de OBS incluyen:
Control de acceso
El control de acceso de OBS se puede implementar en función de los permisos de IAM, las políticas de bucket, las ACL, la validación de URL y CORS.
|
Método |
Descripción |
Referencia |
|
|---|---|---|---|
|
Permisos de IAM |
Los permisos de IAM definen qué acciones en los recursos de la nube están permitidas o denegadas. Después de crear un usuario de IAM, el administrador debe agregarlo a un grupo de usuarios y conceder los permisos requeridos por OBS al grupo de usuarios. A continuación, todos los usuarios de este grupo heredan automáticamente los permisos concedidos. |
||
|
Políticas de bucket |
Una política de bucket se aplica a un bucket de OBS y a los objetos que contiene. Un propietario de bucket puede usar políticas de bucket para conceder a los usuarios de IAM u otras cuentas los permisos necesarios para operar el bucket y los objetos que contiene. Las políticas de bucket complementan y, en muchos casos, reemplazan las ACL de bucket y objetos. |
||
|
ACL |
Una lista de control de acceso (ACL) define a los beneficiarios y sus permisos concedidos. Las ACL de bucket y de objeto están asociadas a cuentas o grupos de usuarios. Cuando se crea un bucket o un objeto, OBS crea una ACL predeterminada que autoriza al propietario el control total sobre el bucket o el objeto. Los propietarios de buckets u objetos pueden configurar las ACL para conceder permisos básicos de lectura y escritura a cuentas o grupos de usuarios específicos. |
||
|
Validación de URL |
La validación de URL protege sus datos en OBS de ser robados utilizando el campo Referer en las solicitudes de HTTP. Dicha autorización se controla mediante listas blancas y listas negras. |
||
|
CORS |
OBS le permite configurar reglas de uso compartido de recursos de origen cruzado (CORS) en bucket para permitir o prohibir las solicitudes de origen cruzado de ciertos sitios web. |
||
