部门公共数据权限管理
企业日常有大量工作文件需要存档,但并不希望花费大量的人力、物力在存储资源上。因此该企业开通了OBS,用于存储日常工作文件,并希望为不同职能部门的员工设置不同的访问权限,以此达到不同部门人员访问公司数据的权限隔离。
对于存储在OBS中的部门公共数据,企业希望管理员用户拥有完全控制权限,普通用户仅拥有只读权限,可以在OBS执行基本的数据读取操作,其逻辑关系如图1所示。
方案及流程
在此场景下可以通过简单的IAM权限方式进行授权。将普通用户所在用户组权限设置为“Tenant Guest”,即可使普通用户以访客角色访问OBS,对OBS仅拥有只读权限。操作流程如图2所示。
详细配置步骤
- 创建管理员用户
- 使用企业账号登录华为云控制台首页。
- 在控制台首页选择“服务列表 > 管理与监管 > 统一身份认证服务(IAM)”,进入IAM控制台。
- 在IAM控制台,单击左侧导航栏中的“用户”。
- 单击“创建用户”,在“创建用户”界面,输入“用户名”并配置以下参数:
- 凭证类型:选择“密码”。
- 所属用户组:选择“admin”用户组。
- 单击“下一步”,选择“密码生成方式”为“自定义”。
- 输入“邮箱”、“手机”、“密码”和“确认密码”。
- 单击“确定”,完成创建管理员用户。
- 创建具有只读权限的用户组
- 创建普通用户
- 在IAM控制台,单击左侧导航栏中的“用户”。
- 单击“创建用户”,在“创建用户”界面,输入“用户名”并配置以下参数:
- 凭证类型:选择“密码”。
- 所属用户组:选择2创建的用户组。
- 单击“下一步”,选择“密码生成方式”为“自定义”。
- 输入“邮箱”、“手机”、密码和“确认密码”。
- 单击“确定”,完成创建用户。
- 验证用户权限
权限授予成功后,普通用户可以通过OBS控制台、OBS Browser+以及API&SDK等多种方式验证。此处以在OBS控制台上的操作为例,介绍如何验证普通用户对部门公共数据的只读权限。
- 使用普通用户登录OBS控制台,查看是否有权限访问OBS页面。
- 如果显示“没有该页面的访问权限”类似提示,表示当前用户无桶内数据的读取权限,请检查用户权限配置是否正确。
- 如果能显示桶列表,表示当前用户拥有桶列表读取权限,请执行下一步骤。
- 单击待操作的桶,进入桶对象页面,查看对象列表。
- 如果无法获取对象列表数据,并显示“拒绝访问,请检查相应权限。”等类似提示,表示当前用户无桶内数据的读取权限,请检查用户权限配置是否正确。
- 如果能显示对象列表,表示当前用户拥有读取权限,请执行下一步骤。
- 在“对象”页面,进行上传、删除对象等写删操作。
- 如果能够进行写删,表示普通用户的只读权限配置失败,请检查用户权限配置是否正确。
- 如果不能写删对象,表示普通用户的只读权限配置正确。
- 使用普通用户登录OBS控制台,查看是否有权限访问OBS页面。