文档首页/ 对象存储服务 OBS/ 用户指南/ 数据安全/ 配置双端固定实现VPC粒度的访问控制
更新时间:2024-10-17 GMT+08:00
查看PDF
分享

配置双端固定实现VPC粒度的访问控制

操作场景

使用“双端固定”特性,即同时设置VPC终端节点策略与桶策略,可以对OBS的资源提供VPC粒度的权限控制。

一方面,设置VPC终端节点策略可以限制VPC中的服务器(ECS/CCE/BMS)访问OBS中的特定资源;另一方面,设置桶策略可以限定OBS中的桶被特定VPC中的服务器访问,从而在请求来源和被访问资源两个角度保障了安全性。

双端固定支持的区域请参见功能总览

背景信息

VPC终端节点访问控制遵循最小权限原则,如果终端节点策略没有显式“Allow(允许)”,则默认“Deny(拒绝)”。在购买VPC终端节点时,系统将会为该终端节点生成一个默认策略,该策略允许对OBS的完全访问,您可以在创建VPC终端节点时修改默认策略,还可以在创建完成后,根据需要随时调整VPC终端节点策略。VPC终端节点策略的设置规则参见IAM策略中的Statement标签

  • VPC终端节点策略与IAM权限存在部分差异:VPC终端节点策略中不含“Condition”标签。
  • OBS双端固定的终端节点服务名称:
    • “拉美-圣保罗一”和“拉美-圣地亚哥”区域可选择格式为“com.myhuaweicloud.xxx.obs”的终端节点服务。
    • 其余地区endpoint请提交工单咨询技术支持。

注意事项

VPC终端节点策略,配置后需等待10分钟才可生效,请耐心等待。

操作步骤

以下提供四种配置双端固定的示例。

配置示例一:只配置VPC终端节点策略

场景描述:

只允许VPC1内的服务器下载桶mybucket中的对象。

其中VPC1的ID为:4dad1f75-0361-4aa4-ac75-1ffdda3a0fec。

配置方法:

配置VPC1的终端节点策略如下:

入口:服务列表 > VPC终端节点 > 单击对应VPC终端节点ID(OBS双端固定的终端节点) > 策略 > 编辑

[
    {
        "Action": [
            "obs:object:GetObject"
        ],
        "Resource": [
            "obs:*:*:object:mybucket/*"
        ],
        "Effect": "Allow"
    }
]

配置示例二:只配置VPC终端节点策略,禁止指定资源下载

场景描述:

除了桶mybucket中的名为myobject对象外,允许VPC1内的服务器下载桶mybucket中所有其他对象。

配置方法:

配置VPC1的终端节点策略如下:

入口:服务列表 > VPC终端节点 > 单击对应VPC终端节点ID(OBS双端固定的终端节点) > 策略 > 编辑

[
    {
        "Action": [
            "obs:object:GetObject"
        ],
        "Resource": [
            "obs:*:*:object:mybucket/*"
        ],
        "Effect": "Allow"
    },
    {
        "Action": [
            "obs:object:GetObject"
        ],
        "Resource": [
            "obs:*:*:object:mybucket/myobject"
        ],
        "Effect": "Deny"
    }
]

配置示例三:同时配置VPC终端节点策略与桶策略

场景描述:

只允许VPC1内的服务器上传/下载桶mybucket中的对象,并且只允许桶mybucket中的对象被VPC1内的服务器上传/下载。

其中VPC1的ID为:4dad1f75-0361-4aa4-ac75-1ffdda3a0fec。

配置方法:

  1. 配置VPC1的终端节点策略如下:
    入口:服务列表 > VPC终端节点 > 单击对应VPC终端节点ID(OBS双端固定的终端节点) > 策略 > 编辑 
    [
    {
        "Action": [
            "obs:object:GetObject",
	    "obs:object:PutObject"
        ],
        "Resource": [
            "obs:*:*:object:mybucket/*"
        ],
        "Effect": "Allow"
    }
]
  2. 配置桶mybucket的桶策略如下:

    配置方法请参见自定义创建桶策略(JSON视图)

    需要配置两个桶策略:

    • 桶策略1:允许VPC1内的服务器上传/下载桶mybucket中的对象。

      其中statementId可自定义,domainIduserId需要设置为允许上传下载的账号ID和用户ID。相关说明请参见桶策略

      {
    "Statement": [
        {
            "Sid": "statementId",
            "Effect": "Allow",
            "Principal": {
                "ID": ["domain/domainId:user/userId"]
            },
            "Action": ["GetObject", "PutObject"],
            "Resource": ["mybucket/*"],
            "Condition": {
                "StringEquals": {
                    "SourceVpc": ["4dad1f75-0361-4aa4-ac75-1ffdda3a0fec"]
                }
            }
        }
    ]
}
    • 桶策略2:除了VPC1外的其他VPC内的服务器均不能操作桶mybucket及桶中的对象。

      其中DenyReqNotFromVpc可自定义。

      {
    "Statement": [
        {
            "Sid": "DenyReqNotFromVpc",
            "Effect": "Deny",
            "Principal": {
                "ID": ["*"]
            },
            "Action": "*",
            "Resource": ["mybucket", "mybucket/*"],
            "Condition": {
                "StringNotEquals": {
                    "SourceVpc": ["4dad1f75-0361-4aa4-ac75-1ffdda3a0fec"]
                }
            }
        }
    ]
}

      设置上述桶策略后,被授权的IAM用户可以正常通过SDK或API进行上传下载操作。如果希望在控制台或OBS Browser+上进行上传下载,还需要在IAM权限中额外配置obs:bucket:ListAllMyBuckets和obs:bucket:ListBucket权限,否则登录控制台和OBS Browser+时会报错,无法看到桶和桶内对象。

配置示例四:同时配置VPC终端节点策略与桶策略后,再授权其他云服务访问桶

场景描述:

当同时设置了VPC1的终端节点策略与桶mybucket的桶策略后,由于双端固定的限制,其它云服务包括OBS就无法访问桶mybucket。如果想要授权其它云服务能够访问桶mybucket,可以通过委托授权的方式。

其中VPC1的ID为:4dad1f75-0361-4aa4-ac75-1ffdda3a0fec。

配置方法:

  1. 配置VPC1的终端节点策略如下:

    只允许VPC1内的服务器上传/下载桶mybucket中的对象。

    入口:服务列表 > VPC终端节点 > 单击对应VPC终端节点ID(OBS双端固定的终端节点) > 策略 > 编辑

    [
    {
        "Action": [
            "obs:object:GetObject",
	    "obs:object:PutObject"
        ],
        "Resource": [
            "obs:*:*:object:mybucket/*"
        ],
        "Effect": "Allow"
    }
]
  2. 创建IAM委托,委托其它云服务访问桶mybucket。例如,委托OBS,绑定系统策略OBS FullAccess,也可以创建自定义策略并绑定该委托。
  3. 配置桶mybucket的桶策略如下:
    只允许桶mybucket中的对象被VPC1内的服务器或者委托名为testAgencyName所对应授权的云服务访问桶mybucket中的对象。其中委托名以2实际创建的IAM委托名称为准。 
    {
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {"ID": ["*"]},
            "Action": ["*"],
            "Resource": ["mybucket/*"],
            "Condition": {
                "StringEquals": {
                    "SourceVpc": ["4dad1f75-0361-4aa4-ac75-1ffdda3a0fec"]
                }
            }
        },
        {
            "Effect": "Allow",
            "Principal": {"ID": ["*"]},
            "Action": ["*"],
            "Resource": ["mybucket/*"],
            "Condition": {
                "StringEquals": {
                    "ServiceAgency": ["testAgencyName"]
                }
            }
        }
    ]
}

    同时,桶策略也可按如下配置达到同样的效果:

    {
    "Statement": [
        {
            "Effect": "Deny",
            "Principal": {"ID": ["*"]},
            "Action": ["*"],
            "Resource": ["mybucket/*"],
            "Condition": {
                "StringNotEquals": {
                    "SourceVpc": ["4dad1f75-0361-4aa4-ac75-1ffdda3a0fec"],
                    "ServiceAgency": ["testAgencyName"]
                }
            }
        }
    ]
}
父主题: 数据安全

相关文档