更新时间:2024-12-13 GMT+08:00
分享

OBS桶策略授权约束

规则详情

表1 规则详情

参数

说明

规则名称

obs-bucket-policy-not-more-permissive

规则展示名

OBS桶策略授权约束

规则描述

OBS桶策略授权了控制策略以外的访问行为,视为“不合规”。

标签

obs、access-analyzer-verified

规则触发方式

配置变更

规则评估的资源类型

obs.buckets

规则参数

controlPolicy:允许的访问边界策略。

说明:
  • 规则参数示例1:桶策略只授权对象的操作权限,不授权桶的操作权限。

    {"Statement": [{"Action": ["*Object*"], "Resource": ["*/*"], "Effect": "Allow", "Principal": {"ID": ["*"]}}]}

  • 规则参数示例2:桶策略只授权华为云账号的身份,不授权联合身份用户或匿名用户。

    {"Statement": [{"Action": ["*"], "Resource": ["*"], "Effect": "Allow", "Principal": {"ID": ["domain/*"]}}]}

应用场景

桶策略是作用于所配置的OBS桶及桶内对象的,OBS桶拥有者通过桶策略可为IAM用户或其他账号授权桶及桶内对象的操作权限,详见桶策略。桶策略应当仅授予刚好能完成工作所需的权限,通过最小权限原则,可以帮助您安全地控制对OBS桶及桶内对象的访问。

修复项指导

通过可视化视图JSON视图修改桶策略内容,避免桶策略授权非预期的身份或网络。

检测逻辑

  • OBS桶策略授权controlPolicy以外的访问,视为“不合规”。
  • OBS桶策略未授权controlPolicy以外的访问,视为“合规”。

相关文档