Gerenciamento de permissões
Você pode usar o Identity and Access Management (IAM) para gerenciar permissões de OBS e controlar o acesso aos seus recursos. IAM fornece autenticação de identidade, gerenciamento de permissões e controle de acesso.
Você pode criar usuários de IAM para seus funcionários e atribuir permissões a esses usuários com base em princípio de privilégio mínimo (PoLP) para controlar o acesso a tipos de recursos específicos. Por exemplo, você pode criar usuários de IAM para desenvolvedores de software e atribuir permissões específicas para permitir que eles usem recursos de OBS, mas impedi-los de excluir recursos ou executar operações de alto risco.
Se sua conta de Huawei Cloud não exigir usuários individuais de IAM para gerenciamento de permissões, pule esta seção.
IAM pode ser usado gratuitamente. Você paga apenas pelos recursos em sua conta. Para obter mais informações sobre IAM, consulte O que é IAM?
Permissões de OBS
By default, new IAM users do not have any permissions assigned. To assign permissions to these new users, add them to one or more groups, and attach permissions policies or roles to these groups.
O OBS é um serviço global implantado e acessado sem especificar nenhuma região física. As permissões do OBS são atribuídas aos usuários no projeto global, e os usuários não precisam alternar entre regiões ao acessar o OBS.
Você pode conceder permissões aos usuários usando funções e políticas.
- Funções: Um tipo de mecanismo de autorização grosseira que fornece apenas um número limitado de funções de nível de serviço. Ao usar funções para conceder permissões, você também precisa atribuir funções de dependência. No entanto, as funções não são uma escolha ideal para autorização refinada e controle de acesso seguro.
- Políticas Um tipo de mecanismo de autorização refinado que define as permissões necessárias para realizar operações em recursos de nuvem específicos sob determinadas condições. Este mecanismo permite uma autorização política-baseada mais flexível para o controle de acesso seguro. Por exemplo, você pode conceder aos usuários de OBS somente as permissões para gerenciar um determinado tipo de recursos de OBS. A maioria das políticas define permissões com base nas API. Para as ações de API suportadas por OBS, consulte Permissões e ações suportadas.
Devido ao armazenamento em cache de dados, uma função e uma política envolvendo ações de OBS entrarão em vigor 10 a 15 minutos depois de serem anexadas a um usuário, um projeto corporativo, e um grupo de usuários.
Tabela 1 lista todas as permissões do sistema OBS.
Nome da função/poítica |
Descrição |
Tipo |
Dependência |
|---|---|---|---|
Administrador de locatário |
Os usuários com essa permissão podem executar todas as operações em todos os serviços, exceto AM. |
Função definida pelo sistema |
Nenhuma |
Convidado do locatário |
Os usuários com essa permissão podem executar operações somente leitura em todos os serviços, exceto AM. |
Função definida pelo sistema |
Nenhuma |
Administrador de OBS |
Os usuários com essa permissão são administradores de OBS e podem executar quaisquer operações em todos os recursos de OBS sob a conta. |
Política definida pelo sistema |
Nenhuma |
Visualizador de buckets de OBS |
Os usuários com essa permissão podem listar buckets, obter informações básicas do bucket e obter metadados do bucket. |
Função definida pelo sistema |
Nenhuma |
ReadOnlyAccess de OBS |
Os usuários com essa permissão podem listar buckets, obter informações básicas do bucket, obter metadados do bucket e listar objetos (não os objetos que foram versionados).
NOTA:
Se um usuário com essa permissão falhar em listar objetos no console de OBS, pode haver várias versões de objetos no bucket. Nesse caso, você precisa conceder ao usuário a permissão obs:bucket:ListBucketVersions para que o usuário possa visualizar versões diferentes dobjetos no console de OBS. |
Política definida pelo sistema |
Nenhuma |
OperateAccess de OBS |
Os usuários com essa permissão podem executar todas as operações de ReadOnlyAccess de OBS e ações básicas de objeto, como carregar objetos, baixar objetos, excluir objetos e obter ACL de objeto.
NOTA:
Se um usuário com essa permissão falhar em listar objetos no console de OBS, pode haver várias versões de objetos no bucket. Nesse caso, você precisa conceder ao usuário a permissão obs:bucket:ListBucketVersions para que o usuário possa visualizar versões diferentes de objetos no console de OBS. |
Política definida pelo sistema |
Nenhuma |
Tabela 2 lista as operações comuns suportadas por cada política definida pelo sistema ou função de OBS. Selecione as políticas ou funções conforme necessário.
Operação |
Administrador de locatário |
Convidado de locatário |
Administrador de OBS |
Visualizador de buckets de OBS |
OBS ReadOnlyAccess |
OBS OperateAccess |
|---|---|---|---|---|---|---|
Listagem de buckets |
Sim |
Sim |
Sim |
Sim |
Sim |
Sim |
Criação de buckets |
Sim |
Não |
Sim |
Não |
Não |
Não |
Exclusão de buckets |
Sim |
Não |
Sim |
Não |
Não |
Não |
Obtenção de informações básicas do bucket |
Sim |
Sim |
Sim |
Sim |
Sim |
Sim |
Controle do acesso ao bucket |
Sim |
Não |
Sim |
Não |
Não |
Não |
Gerenciamento de políticas de bucket |
Sim |
Não |
Sim |
Não |
Não |
Não |
Modificação de classes de armazenamento de bucket |
Sim |
Não |
Sim |
Não |
Não |
Não |
Listagem de objetos |
Sim |
Sim |
Sim |
Não |
Sim |
Sim |
Listagem de objetos com várias versões |
Sim |
Sim |
Sim |
Não |
Não |
Não |
Carregamento de arquivos |
Sim |
Não |
Sim |
Não |
Não |
Sim |
Criação de pastas |
Sim |
Não |
Sim |
Não |
Não |
Sim |
Exclusão de de arquivo |
Sim |
Não |
Sim |
Não |
Não |
Sim |
Exclusão de pastas |
Sim |
Não |
Sim |
Não |
Não |
Sim |
Download de arquivos |
Sim |
Sim |
Sim |
Não |
Não |
Sim |
Exclusão de arquivos com várias versões |
Sim |
Não |
Sim |
Não |
Não |
Sim |
Download de arquivos com várias versões |
Sim |
Sim |
Sim |
Não |
Não |
Sim |
Modificação de classes de armazenamento dobjetos |
Sim |
Não |
Sim |
Não |
Não |
Não |
Restauração de arquivos |
Sim |
Não |
Sim |
Não |
Não |
Não |
Cancelando a exclusão de arquivos |
Sim |
Não |
Sim |
Não |
Não |
Sim |
Exclusão de fragmentos |
Sim |
Não |
Sim |
Não |
Não |
Sim |
Controle do acesso a objetos |
Sim |
Não |
Sim |
Não |
Não |
Não |
Configuração de metadados dobjeto |
Sim |
Não |
Sim |
Não |
Não |
Não |
Obtenção de metadados dobjeto |
Sim |
Sim |
Sim |
Não |
Não |
Sim |
Gerenciamento do versionamento |
Sim |
Não |
Sim |
Não |
Não |
Não |
Gerenciamento de registração |
Sim |
Não |
Sim |
Não |
Não |
Não |
Gerenciamento de notificações de eventos |
Sim |
Não |
Sim |
Não |
Não |
Não |
Gerenciamento de tags |
Sim |
Não |
Sim |
Não |
Não |
Não |
Gerenciamento de regras de ciclo de vida |
Sim |
Não |
Sim |
Não |
Não |
Não |
Gerenciamento da hospedagem de site estático |
Sim |
Não |
Sim |
Não |
Não |
Não |
Gerenciamento de regras CORS |
Sim |
Não |
Sim |
Não |
Não |
Não |
Gerenciamento de validação de URL |
Sim |
Não |
Sim |
Não |
Não |
Não |
Gerenciamento de nomes de domínio |
Sim |
Não |
Sim |
Não |
Não |
Não |
Gerenciamento da replicação entre regiões |
Sim |
Não |
Sim |
Não |
Não |
Não |
Gerenciamento do processamento de imagens |
Sim |
Não |
Sim |
Não |
Não |
Não |
Anexação de objetos |
Sim |
Não |
Sim |
Não |
Não |
Sim |
Configuração da ACL do objeto |
Sim |
Não |
Sim |
Não |
Não |
Não |
Configuração da ACL para um objeto de uma versão especificada |
Sim |
Não |
Sim |
Não |
Não |
Não |
Obtenção de as informações de ACL dobjeto |
Sim |
Sim |
Sim |
Não |
Não |
Sim |
Obtenção das informações ACL de uma versão dobjeto especificada |
Sim |
Sim |
Sim |
Não |
Não |
Sim |
Carregamento no modo de multiparte |
Sim |
Não |
Sim |
Não |
Não |
Sim |
Listagem de partes carregadas |
Sim |
Sim |
Sim |
Não |
Não |
Sim |
Cancelamento de tarefas com várias partes |
Sim |
Não |
Sim |
Não |
Não |
Sim |
Configuring online decompression |
Yes |
No |
No |
No |
No |
No |
Gerenciamento de permissões de recursos de OBS
O acesso a buckets e objetos de OBS pode ser controlado por permissões de usuário de IAM, políticas de bucket e ACL.
Para obter mais informações, consulte Controle de permissão de OBS.
