通用文件系统权限管理
概述
您可以给通用文件系统配置IP鉴权规则,根据不同的IP或网段授予不同的权限。
在控制台新创建的通用文件系统默认有一条VPC权限配置(读写,root用户不匿名,所有IP地址),表示所有用户通过该VPC都有读写权限且不进行权限降级的权限,该权限可以被编辑或删除。
使用限制
不支持一个IP同时匹配两条规则。
网段类型
网段类型配置可以采用CIDR格式网段配置方式。
CIDR格式地址使用可变长度子网掩码来表示 IP 地址中网络地址位和主机地址位之间的比例。
CIDR IP地址在普通IP地址的基础上附加了一个后缀值,这个后缀值就是网络地址前缀位数。例如,192.1.1.0/24 是一个 IPv4 CIDR地址,其中前 24 位(即 192.1.1)是网络地址。
任何前24位与192.1.1.0相同的ip都适用于这一条鉴权规则,即192.1.1.1 与 192.1.1.1/32 表达的含义相同。
权限类型
权限分为两部分:读写权限和用户权限。
|
权限 |
描述 |
|---|---|
|
读写 |
用户拥有读写权限。 |
|
只读 |
用户拥有只读权限。 |
|
权限 |
描述 |
|---|---|
|
root用户不匿名(no_root_squash) |
包括root用户在内的任何用户访问时权限都不会降为nobody。 |
|
所有用户匿名(all_squash) |
所有的用户访问时权限降为nobody。 |
|
root用户匿名(root_squash) |
root用户访问时权限降为nobody。 |
添加授权操作步骤
本章节介绍如何通过控制台完成添加授权进行权限管理。
- 登录弹性文件服务管理控制台。
- 在通用文件系统列表中,找到待添加授权的通用文件系统并单击目标通用文件系统名称,进入通用文件系统详情界面。
- 在“权限管理”页签,单击“添加授权”。
图1 添加授权
- 在“添加授权”弹窗内,参考表3完成授权的添加。
表3 参数说明 参数
说明
VPC
添加的VPC,例如:vpc-30e0。如无VPC,可选择新建VPC。
读写权限
支持选择读写权限和只读权限。默认为“读写”。
用户权限
支持选择root用户不匿名(no_root_squash)、root用户匿名(root_squash)或者所有用户匿名(all_squash)。
- root用户不匿名(no_root_squash):允许使用root用户访问通用文件系统。
- root用户匿名(root_squash):root用户身份访问时,将映射nobody为用户,允许用户访问通用文件系统。
- 所有用户匿名(all_squash):无论以何种用户身份访问,均映射为nobody用户,允许用户访问、修改、删除通用文件系统。
授权地址条目
支持选择所有IP地址和指定IP地址。默认为“所有IP地址”。
- 输入的IPv4地址/地址段必须合法,且不能为除0.0.0.0/0以外之前0开头的IP地址或地址段,其中当设置为0.0.0.0/0时表示VPC内的任意IP。同时,不能为127以及224~255开头的IP地址或地址段,例如127.0.0.1,224.0.0.1,255.255.255.255,因为以224-239开头的IP地址或地址段是属于D类地址,用于组播;以240-255开头的IP地址或地址段属于E类地址,用于研究。使用非合法的IP或IP地址段可能会导致添加访问规则失败或者添加的访问规则无法生效。
- 如果要表示一个地址段,如192.168.1.0-192.168.1.255的地址段应使用掩码形式:192.168.1.0/24,不支持192.168.1.0-255等其他地址段表示形式。掩码位数的取值为0到31的整数,且只有为0.0.0.0/0时掩码位数可取0,其他情况均不合法。
- 网段类型请参见网段类型。
说明:填写指定IP地址时,您可以在IP地址组内添加多个不同格式的IP地址,每个IP地址输入完成后,按回车键换行。
完成授权添加后,单击权限管理列表的授权地址条目数,可查看或查询授权地址条目信息。
- 确认授权信息,单击“确定”。
相关操作
您可以单击权限列表操作列的“编辑”按钮修改读写权限、用户权限和授权地址条目,或者单击“删除”按钮删除授权。
