更新时间:2023-02-28 GMT+08:00

权限配置

并行文件系统的权限配置与对象存储权限配置应用场景与主要功能一致,更多信息可参照权限配置指南

与对象权限配置的主要差异说明

需要精确匹配指定目录时,策略中的资源路径需要以“/”结束。因为并行文件系统做权限检查时,判断被检查对象为目录,但对象标识没有以/结束,会在对象标识尾部加上/,然后做策略匹配

IAM权限配置样例

示例1:给用户授予dir_1目录的下载权限,不包括子目录

策略配置如下,资源路径以/结束,这时head请求url中携带dir_1或者dir_1/都可以收到成功响应

注意:该策略没有对dir_1中子目录或文件授予权限,所以对dir_1/file1发送head请求会收到失败响应

{
    "Version": "1.1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "obs:object:GetObject",
            ],
            "Resource": [
                "obs:*:*:object:examplebucket/dir_1/",
            ]
        }
    ]
}

示例2:给用户授予dir_1及其子目录的下载权限

策略配置如下所示,资源路径做前缀匹配,以通配符*结束,这时对dir_1/file1发送head请求可以收到成功响应

{
    "Version": "1.1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "obs:object:GetObject",
            ],
            "Resource": [
                "obs:*:*:object:examplebucket/dir_1/*",
            ]
        }
    ]
}

桶策略配置样例

示例1:给用户授予dir_1目录的下载权限,不包括子目录

策略配置如下所示,资源路径以/结束,这时head请求url中携带dir_1或者dir_1/都可以收到成功响应

{
    "Statement":[
    {
      "Sid":"test",
      "Effect":"Allow",
      "Principal": {"ID": ["domain/b4bf1b36d9ca43d984fbcb9491b6fce9:user/71f3901173514e6988115ea2c26d1999"]},
      "Action":["*"],
      "Resource":[
        "examplebucket/dir_1/",
      ]
    }
  ]
}