对IAM用户组授予OBS所有资源的基本操作权限
场景介绍
本案例介绍如何通过IAM预置的与OBS相关的系统角色和策略,为账号下的多个IAM用户或用户群组授予OBS所有资源的基本操作权限。预置的系统角色和策略所支持的权限如下表所示。
系统角色/策略名称 |
描述 |
类别 |
---|---|---|
Tenant Administrator |
拥有该权限的用户拥有除IAM外,其他所有服务的所有执行权限。 |
系统角色 |
Tenant Guest |
拥有该权限的用户拥有除IAM外,其他所有服务的只读权限。 |
系统角色 |
OBS FullAccess |
拥有该权限的用户为OBS管理员,可以对账号下的所有OBS资源执行任意操作。 |
系统策略 |
OBS Buckets Viewer |
拥有该权限的用户可以执行列举桶、获取桶基本信息、获取桶元数据的操作。 |
系统策略 |
OBS ReadOnlyAccess |
拥有该权限的用户可以执行列举桶、获取桶基本信息、获取桶元数据、列举对象(不包含多版本)的操作。
说明:
拥有该权限的用户如果在控制台上列举对象失败,可能是因为桶中存在多版本对象。此时需要额外授予该用户列举多版本对象的权限(obs:bucket:ListBucketVersions),才能在控制台正常看到对象列表。 |
系统策略 |
OBS OperateAccess |
拥有该权限的用户可以执行OBS ReadOnlyAccess的所有操作,在此基础上还可以执行上传对象、下载对象、删除对象、获取对象ACL等对象基本操作。
说明:
拥有该权限的用户如果在控制台上列举对象失败,可能是因为桶中存在多版本对象。此时需要额外授予该用户列举多版本对象的权限(obs:bucket:ListBucketVersions),才能在控制台正常看到对象列表。 |
系统策略 |
推荐配置方法
IAM系统角色/策略
配置须知
按照本案例配置系统角色或策略后,如果通过控制台或OBS Browser+登录,可能会出现无权限的相关提示信息。
即使界面出现了权限不足的提示,也并不影响已有的权限生效。通过API可以正常调用相关接口。
对于控制台或客户端工具(OBS Browser+)而言,如果配置了OBS OperateAccess权限,是可以进行对象上传、下载等操作的。
配置步骤
- 使用云服务账号登录管理控制台。
- 在顶部导航栏选择“服务列表>管理与部署>统一身份认证服务”,进入“统一身份认证服务”管理控制台。
- 创建用户组并授权。
按照IAM文档指导,将符合业务场景需求的系统角色或策略添加到用户组中。
- 将需要授权的IAM用户加入到创建的用户组中,授权完成。
由于缓存的存在,授予OBS相关的角色和策略后,大概需要等待10~15分钟权限才能生效。