OBS中配置子賬號權限實踐

OBS中配置子賬號權限實踐

注：本文實踐目的，配置子賬號可以登錄OBS查看桶，查看對象（文件），上傳對象（文件），新建對象，但是無法操作任何關于刪除對象的操作

1創建子賬號

1.1獲取子賬號

登錄華為云管理控制臺，找到右上角用戶名，點擊選擇“統一身份認證”進入下一步

1.2創建用戶

此步驟用于創建子賬號，在配置中所選用戶組，選擇power_user（擁有除了用戶管理外所有權限的用戶組）點擊確認

1.3.獲取子賬號的Ak、SK

退出當前登錄的主賬號，使用上步驟創建的子賬號（即IAM賬戶）登錄華為云，之后點擊用戶名下的“我的憑證”——“管理訪問密鑰”——“新增訪問密鑰”——下載獲取子賬號的ak，sk文件備用

2.使用OBS Browser登錄（可選）

2.1下載OBS Browser客戶端

客戶端-可以在OBS控制臺進行下載，如下圖，也可以點擊此處（Win 64位） 、MAC

之后使用之前獲取的子賬號AK 、SK信息進行登錄客戶端即可。

3.設置桶策略

高級設置下提供三種增加桶策略的方式，方便用戶快速設置桶策略。

只讀模式：被授權用戶將擁有桶內指定對象的讀權限，對應可以執行獲取對象內容及元數據操作。

讀寫模式：被授權用戶將擁有桶內指定對象的讀寫權限，對應可以執行獲取對象內容及元數據、上傳對象、刪除對象等操作。

自定義模式：自定義配置被授權用戶可以擁有桶或對象的操作權限，由效果、被授權用戶、資源、動作和條件5個桶策略基本參數共同決定。

如果桶ACL和桶策略同時使用且兩者的授權判定產生沖突時，以桶策略>桶ACL的優先級順序決定授權結果。桶ACL只能對賬號授權，桶策略可以對賬號或者賬號下的用戶授權。

3.1 主賬號登錄OBS控制臺

使用華為云主賬號登錄OBS控制臺，選擇需要配置權限的桶，本示例以obs-moviess這個名稱作為參考。點擊進入此桶，選擇“權限”——桶策略下通用設置，選擇“私有”——高級設置點擊“增加桶策略”，之后進入下一步桶策略設置

3.2桶策略參數設置

策略模式：自定義模式

效果：deny

被授權用戶：包含

當前賬號（選擇之前創建的子賬號）

資源：包含

選擇哪些資源受此條策略限制，此處是* ，表示桶中所有資源

動作：包含

DeleteObject

DeleteObjectVersion

條件：可選，如有其他個性化動作控制，可以參考文檔設置，鏈接

最后點擊確認即可

ACL權限

選項

對應桶策略高級設置中的動作

桶訪問權限

讀取權限

·?????? ? HeadBucket（判斷桶是否存在）

·?????? ? ListBucket（列舉桶內對象，獲取桶元數據）

·?????? ? ListBucketVersions（列舉桶內多版本對象）

·?????? ? ListBucketMultipartUploads（列舉多段上傳任務）

寫入權限

·?????? ? PutObject（PUT上傳，POST上傳，上傳段，初始化上傳段任務，合并段）

·?????? ? DeleteObject（刪除對象）

·?????? ? DeleteObjectVersion（刪除特定版本的對象）

4.驗證

4.1刪除驗證

桶的策略完成后，在主賬號中上傳一個測試文件test.txt ，可以隨便寫點內容在里面，如：“hello，我是一個文本”

在子賬號登錄的OBS客戶端中，刷新，嘗試刪除操作，發現刪除失敗，客戶端給出提示“拒絕訪問，請檢查相應權限”

4.2上傳驗證

上傳一個test2 文本，可以上傳成功，如下圖

4.3下載驗證

點擊桶中下載按鈕，是可以彈出選擇保存的目錄，下載到本地

對象存儲服務 OBS

版權聲明：本文內容由網絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容，請聯系我們jiasou666@gmail.com 處理，核實后本網站將在24小時內刪除侵權內容。

版權聲明：本文內容由網絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容，請聯系我們jiasou666@gmail.com 處理，核實后本網站將在24小時內刪除侵權內容。