更新时间:2024-02-29 GMT+08:00

对IAM用户组授予OBS所有资源的基本操作权限

场景介绍

本案例介绍如何通过IAM预置的与OBS相关的系统角色和策略,为账号下的多个IAM用户或用户群组授予OBS所有资源的基本操作权限。预置的系统角色和策略所支持的权限如下表所示。

表1 OBS系统权限

系统角色/策略名称

描述

类别

Tenant Administrator

拥有该权限的用户拥有除IAM外,其他所有服务的所有执行权限。

系统角色

Tenant Guest

拥有该权限的用户拥有除IAM外,其他所有服务的只读权限。

系统角色

OBS FullAccess

拥有该权限的用户为OBS管理员,可以对账号下的所有OBS资源执行任意操作。

系统策略

OBS Buckets Viewer

拥有该权限的用户可以执行列举桶、获取桶基本信息、获取桶元数据的操作。

系统策略

OBS ReadOnlyAccess

拥有该权限的用户可以执行列举桶、获取桶基本信息、获取桶元数据、列举对象(不包含多版本)的操作。

说明:

拥有该权限的用户如果在控制台上列举对象失败,可能是因为桶中存在多版本对象。此时需要额外授予该用户列举多版本对象的权限(obs:bucket:ListBucketVersions),才能在控制台正常看到对象列表。

系统策略

OBS OperateAccess

拥有该权限的用户可以执行OBS ReadOnlyAccess的所有操作,在此基础上还可以执行上传对象、下载对象、删除对象、获取对象ACL等对象基本操作。

说明:

拥有该权限的用户如果在控制台上列举对象失败,可能是因为桶中存在多版本对象。此时需要额外授予该用户列举多版本对象的权限(obs:bucket:ListBucketVersions),才能在控制台正常看到对象列表。

系统策略

推荐配置方法

IAM系统角色/策略

配置须知

按照本案例配置系统角色或策略后,如果通过控制台或OBS Browser+登录,可能会出现无权限的相关提示信息。

即使界面出现了权限不足的提示,也并不影响已有的权限生效。通过API可以正常调用相关接口。

对于控制台或客户端工具(OBS Browser+)而言,如果配置了OBS OperateAccess权限,是可以进行对象上传、下载等操作的。

配置步骤

  1. 使用云服务账号登录管理控制台。
  2. 在顶部导航栏选择“服务列表>管理与部署>统一身份认证服务”,进入“统一身份认证服务”管理控制台。
  3. 创建用户组并授权

    按照IAM文档指导,将符合业务场景需求的系统角色或策略添加到用户组中。

  4. 将需要授权的IAM用户加入到创建的用户组中,授权完成。

    由于缓存的存在,授予OBS相关的角色和策略后,大概需要等待10~15分钟权限才能生效。