部门公共数据权限管理

企业日常有大量工作文件需要存档，但并不希望花费大量的人力、物力在存储资源上。因此该企业开通了OBS，用于存储日常工作文件，并希望为不同职能部门的员工设置不同的访问权限，以此达到不同部门人员访问公司数据的权限隔离。

对于存储在OBS中的部门公共数据，企业希望管理员用户拥有完全控制权限，普通用户仅拥有只读权限，可以在OBS执行基本的数据读取操作，其逻辑关系如图1所示。

图1 逻辑关系

方案及流程

在此场景下可以通过简单的IAM权限方式进行授权。将普通用户所在用户组权限设置为“Tenant Guest”，即可使普通用户以访客角色访问OBS，对OBS仅拥有只读权限。操作流程如图2所示。

图2 部门公共数据权限管理流程

详细配置步骤

创建管理员用户
1. 使用企业账号登录华为云控制台首页。
2. 在控制台首页选择“服务列表 > 管理与监管 > 统一身份认证服务（IAM）”，进入IAM控制台。
3. 在IAM控制台，单击左侧导航栏中的“用户”。
4. 单击“创建用户”，在“创建用户”界面，输入“用户名”并配置以下参数：
  - 凭证类型：选择“密码”。
  - 所属用户组：选择“admin”用户组。
5. 单击“下一步”，选择“密码生成方式”为“自定义”。
6. 输入“邮箱”、“手机”、“密码”和“确认密码”。
7. 单击“确定”，完成创建管理员用户。
创建具有只读权限的用户组
1. 在IAM控制台，单击左侧导航栏中的“用户组”。
2. 单击“创建用户组”，输入“用户组名称”及“描述”。
3. 单击“确定”。
  返回用户组列表，用户组列表中将显示新创建的用户组。
4. 单击新创建用户组“操作”列的“权限配置”。
5. 单击“授权”。
6. 选择“全局服务”。在“拥有以下权限”的策略列表中，选择“Tenant Guest”策略。
7. 单击“确定”，保存用户组权限。
创建普通用户
1. 在IAM控制台，单击左侧导航栏中的“用户”。
2. 单击“创建用户”，在“创建用户”界面，输入“用户名”并配置以下参数：
  - 凭证类型：选择“密码”。
  - 所属用户组：选择2创建的用户组。
3. 单击“下一步”，选择“密码生成方式”为“自定义”。
4. 输入“邮箱”、“手机”、密码和“确认密码”。
5. 单击“确定”，完成创建用户。
验证用户权限
权限授予成功后，普通用户可以通过OBS控制台、OBS Browser+以及API&SDK等多种方式验证。此处以在OBS控制台上的操作为例，介绍如何验证普通用户对部门公共数据的只读权限。
1. 使用普通用户登录OBS控制台，查看是否有权限访问OBS页面。
  - 如果显示“没有该页面的访问权限”类似提示，表示当前用户无桶内数据的读取权限，请检查用户权限配置是否正确。
  - 如果能显示桶列表，表示当前用户拥有桶列表读取权限，请执行下一步骤。
2. 单击待操作的桶，进入桶对象页面，查看对象列表。
  - 如果无法获取对象列表数据，并显示“拒绝访问，请检查相应权限。”等类似提示，表示当前用户无桶内数据的读取权限，请检查用户权限配置是否正确。
  - 如果能显示对象列表，表示当前用户拥有读取权限，请执行下一步骤。
3. 在“对象”页面，进行上传、删除对象等写删操作。
  - 如果能够进行写删，表示普通用户的只读权限配置失败，请检查用户权限配置是否正确。
  - 如果不能写删对象，表示普通用户的只读权限配置正确。