通过IAM角色或策略授予使用OBS的权限
如果您需要对所拥有的OBS资源的管理和访问进行权限管控,您可以使用统一身份认证服务(Identity and Access Management,简称IAM)。IAM有两种授权方式,一种是基于角色与策略的授权,一种是基于身份策略的授权,两种方式的区别详见IAM权限和授权项说明。本节讲解基于角色与策略的授权方式。通过IAM基于角色与策略的授权方式,您可以:
- 根据企业的业务组织,在您的华为账号中,给企业中不同职能部门的员工创建IAM用户,让员工拥有唯一安全凭证,并使用OBS资源。
- 根据企业用户的职能,设置不同的访问权限,以达到用户之间的权限隔离。
- 将OBS资源委托给更专业、高效的其他华为账号或者云服务,这些账号或者云服务可以根据权限进行代运维。
如果华为云账号已经能满足您的要求,不需要创建独立的IAM用户,您可以跳过本章节,不影响您使用OBS服务的其它功能。
本章节为您介绍使用角色与策略的授权方法,操作流程如图1所示。
前提条件
给用户组授权之前,请您了解用户组可以添加的OBS权限,并结合实际需求进行选择,OBS支持的系统权限,请参见角色与策略权限管理。如果您需要对除OBS之外的其他服务授权,IAM支持服务的所有权限请参见权限策略。
示例流程
- 创建用户组并授权
在IAM控制台创建用户组,并授予对象存储服务只读权限“OBS ReadOnlyAccess”。
- 创建用户并加入用户组。
在IAM控制台创建用户,并将其加入1中创建的用户组。
- 用户登录并验证权限
新创建的用户登录控制台,切换至授权区域,验证权限:
- 在“服务列表”中选择对象存储服务,进入OBS桶列表页面,单击右上角“创建桶”,尝试创建桶操作,如果无法创建桶(假设当前权限仅包含OBS ReadOnlyAccess),表示“OBS ReadOnlyAccess”已生效
- 在“服务列表”中选择除对象存储服务外(假设当前策略仅包含OBS ReadOnlyAccess)的任一服务,如果提示权限不足,表示“OBS ReadOnlyAccess”已生效。
自定义策略样例
如果系统预置的OBS权限,不满足您的授权要求,可以创建自定义策略。自定义策略中可以添加的授权项(Action)请参考OBS策略授权参考。
目前华为云支持以下两种方式创建自定义策略:
- 可视化视图创建自定义策略:无需了解策略语法,按可视化视图导航栏选择云服务、操作、资源、条件等策略内容,可自动生成策略。
- JSON视图创建自定义策略:可以在选择策略模板后,根据具体需求编辑策略内容;也可以直接在编辑框内编写JSON格式的策略内容。
具体创建步骤请参见:创建自定义策略。下面为您介绍常用的OBS自定义策略样例。
- 示例1:给用户授予OBS的所有权限
- 示例2:给用户授予OBS管理控制台的所有权限
此策略表示用户可以在管理控制台对OBS进行所有操作。
由于用户登录OBS管理控制台时,除了访问OBS资源,还会访问一些其他服务的资源,如CTS审计信息,CDN加速域名,KMS密钥等。因此除了配置和示例1同样的OBS权限外,还需要配置其他服务的访问权限。其中CDN属于全局服务,CTS、KMS等属于区域级服务,需要根据您实际使用到的服务和区域分别在全局项目和对应区域项目中配置Tenant Guest权限。Tenant Guest权限包含除统一身份认证服务外,其他所有服务的只读权限。
{ "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "obs:*:*" ] } ] } - 示例3:给用户授予桶内所有对象的列举和下载权限
- 示例4:给用户授予桶内对象的列举和指定目录对象的下载权限
此策略表示用户只能下载桶obs-example中“my-project/”目录下的所有对象,其他目录下的对象虽然可以列举,但无法下载。
{ "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "obs:object:GetObject", "obs:object:GetObjectVersion", "obs:bucket:ListBucket" ], "Resource": [ "obs:*:*:object:obs-example/my-project/*", "obs:*:*:bucket:obs-example" ] } ] } - 示例5:给用户授予桶的读写权限(限定目录)
此策略表示用户可以对桶obs-example中“my-project”目录下的所有的对象进行列举、下载、上传和删除。
{ "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "obs:object:GetObject", "obs:object:ListMultipartUploadParts", "obs:bucket:ListBucket", "obs:object:DeleteObject", "obs:object:PutObject" ], "Resource": [ "obs:*:*:object:obs-example/my-project/*", "obs:*:*:bucket:obs-example" ] } ] } - 示例6:给用户授予桶的所有权限
- 示例7:拒绝用户上传对象
拒绝策略需要同时配合其他策略使用,否则没有实际作用。用户被授予的策略中,一个授权项的作用如果同时存在Allow和Deny,则遵循Deny优先原则。
如果您给用户授予OBS OperateAccess的系统策略,但不希望用户拥有OBS OperateAccess中定义的上传对象的权限,您可以创建一条拒绝上传对象的自定义策略,然后同时将OBS OperateAccess和拒绝策略授予用户,根据Deny优先原则,则用户可以执行除了上传对象外OBS OperateAccess允许的所有操作。拒绝策略示例如下:
{ "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "obs:object:PutObject" ] } ] }
OBS资源
资源是服务中存在的对象。在OBS中,资源包括桶和对象。您可以在创建自定义策略时,通过指定资源路径来选择特定资源。
|
指定资源 |
资源路径 |
|---|---|
|
桶 |
【格式】 obs:*:*:bucket:桶名称 【说明】 对于桶资源,IAM自动生成资源路径前缀obs:*:*:bucket: 通过桶名称指定具体的资源路径,支持通配符*。例如: obs:*:*:bucket:*表示任意OBS桶。 |
|
对象 |
【格式】 obs:*:*:object:桶名称/对象名称 【说明】 对于对象资源,IAM自动生成资源路径前缀obs:*:*:object: 通过桶名称/对象名称指定具体的资源路径,支持通配符*。例如: obs:*:*:object:my-bucket/my-object/*表示my-bucket桶下my-object目录下的任意对象。 |
OBS请求条件
您可以在创建自定义策略时,通过添加“请求条件”(Condition元素)来控制策略何时生效。请求条件包括条件键和运算符,条件键表示策略语句的 Condition 元素,分为全局级条件键和服务级条件键。全局条件键(前缀为g:)适用于所有操作,服务级条件键(前缀为服务缩写,如obs:)仅适用于对应服务的操作。运算符与条件键一起使用,构成完整的条件判断语句。
OBS通过IAM预置了一组条件键,例如,您可以先使用 obs:SourceIp 条件键检查请求者的 IP 地址,然后再允许执行操作。
OBS支持的条件键和运算符与桶策略的Condition一致,在IAM配置时需要在前面加上“obs:”。详细的Condition介绍请参见Policy格式。
