文件系统权限管理
概述
您可以给文件系统配置ip鉴权规则,根据不同的IP或网段授予不同的权限。
ip鉴权默认有一个(*,rw,no_root_squash)表示所有用户都有读写权限且不进行权限降级的权限,该权限可以被删除。
使用限制
- 一个文件系统最多可以配置64条权限规则。
- 权限可以增删,但需要保证一个文件系统至少有一条权限规则。
网段类型
网段类型配置可以采用两种配置方式。
- * : 代表任何ip地址
- CIDR格式网段 :
CIDR格式地址使用可变长度子网掩码来表示 IP 地址中网络地址位和主机地址位之间的比例。
CIDR IP地址在普通IP地址的基础上附加了一个后缀值,这个后缀值就是网络地址前缀位数。例如,192.1.1.0/24 是一个 IPv4 CIDR地址,其中前 24 位(即 192.1.1)是网络地址。
任何前24位与192.1.1.0相同的ip都适用于这一条鉴权规则,即192.1.1.1 与 192.1.1.1/32 表达的含义相同。
权限类型
权限分为两部分:access权限和squash权限。
|
权限 |
描述 |
|---|---|
|
rw |
用户拥有读写权限 |
|
ro |
用户拥有只读权限 |
|
none |
用户无权限访问 |
|
权限 |
描述 |
|---|---|
|
all_squash |
所有的用户访问时权限降为nobody |
|
root_squash |
root用户访问时权限降为nobody |
|
no_root_squash |
包括root用户在内的任何用户访问时权限都不会降为nobody |
如果一个ip同时匹配两条规则,则更精确的更优先匹配。例如1.1.1.1同时匹配(1.1.1.1,ro,root_squash)和(*,rw,no_root_squash)两条规则,则选取更精准的(1.1.1.1,ro,root_squash)这条规则。
添加授权地址操作步骤
本章节介绍如何通过控制台完成添加授权地址进行权限管理。
如果您想通过API调用完成文件系统权限管理,请参考《弹性文件服务API参考》权限管理章节。
- 登录弹性文件服务管理控制台。
- 在SFS Turbo文件系统列表中,找到待添加授权地址的SFS Turbo文件系统并单击目标文件系统名称,进入文件系统详情界面。
- 在“权限列表”页签,单击“添加”。
图1 添加授权地址
- 在“添加授权地址”弹窗内,参考表3完成授权地址的添加。
一个文件系统最多可以配置64条权限规则,单次最多可新增5个授权地址。
表3 添加授权地址说明 参数
说明
授权地址
- 只能输入一个的IP或网段。
- 输入的IPv4地址/地址段必须合法,且不能为除0.0.0.0/0以外之前0开头的IP地址或地址段,其中当设置为0.0.0.0/0时表示VPC内的任意IP。同时,不能为127以及224~255开头的IP地址或地址段,例如127.0.0.1,224.0.0.1,255.255.255.255,因为以224-239开头的IP地址或地址段是属于D类地址,用于组播;以240-255开头的IP地址或地址段属于E类地址,用于研究。使用非合法的IP或IP地址段可能会导致添加访问规则失败或者添加的访问规则无法生效。
- 如果要表示一个地址段,如192.168.1.0-192.168.1.255的地址段应使用掩码形式:192.168.1.0/24,不支持192.168.1.0-255等其他地址段表示形式。掩码位数的取值为0到31的整数,且只有为0.0.0.0/0时掩码位数可取0,其他情况均不合法。
- 网段类型请参见网段类型。
读写权限
支持选择以下读写权限。默认选择“rw”。
- rw:用户拥有读写权限。
- ro:用户拥有只读权限。
- none:用户无权限访问。
用户权限
支持选择以下用户权限。默认选择“all_squash”。
- all_squash:所有的用户访问时权限降为nobody。
- root_squash:root用户访问时权限降为nobody。
- no_root_squash:包括root用户在内的任何用户访问时权限都不会降为nobody。
- 确认授权地址信息,单击“确定”。
相关操作
您可以单击权限列表操作列的“编辑”按钮修改读写权限和用户权限,或者单击“删除”按钮删除授权地址。
