检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
IAM权限 IAM权限简介 默认情况下,管理员创建的IAM用户没有任何权限,需要将其加入用户组,并给用户组授予策略和角色,才能使得用户组中的用户获得策略定义的权限,这一过程称为授权。授权后,用户就可以基于被授予的权限对云服务进行操作。
允许其他华为云账号访问OBS资源,可以使用桶策略的方式授权对应权限。 当不同的桶对于不同的IAM用户有不同的访问控制需求时,需使用桶策略分别授权IAM用户不同的权限。
权限典型场景一览 我们提供了如下典型的权限场景,帮助您顺利完成OBS权限配置。
对其他账号授予指定对象的读权限 场景介绍 本案例介绍如何为其他账号授予OBS桶中某个对象或某类对象的读权限。这里的账号指华为云账号本身,不包含账号下的IAM用户,如果要为IAM用户授权,请参见对其他账号下的IAM用户授予桶和桶内资源的访问权限。
须知: 不建议修改桶拥有者对桶的读取和写入权限。 匿名用户 未注册华为云的普通访客。如果匿名用户被授予了访问桶/对象的权限,则表示所有人都可以访问对应的桶/对象,并且不需要经过任何身份认证。
将普通用户所在用户组权限设置为“Tenant Guest”,即可使普通用户以访客角色访问OBS,对OBS仅拥有只读权限。操作流程如图2所示。 图2 部门公共数据权限管理流程 详细配置步骤 创建管理员用户 使用企业账号登录华为云控制台首页。
匿名用户 未注册华为云的普通访客。 须知: 开启匿名用户的桶/对象访问权限后,所有人都可以在不经过身份认证的情况下,对桶/对象进行访问。 桶ACL的访问权限如表2所示: 表2 桶ACL访问权限 权限 选项 描述 桶访问权限 读取权限 此权限可以获取该桶内对象列表和桶的元数据。
配置桶ACL权限 OBS Browser+可以配置拥有者、匿名用户、特定用户对应的ACL权限。 操作步骤 登录OBS Browser+。 选中待配置的桶,单击“桶ACLs”。 根据需求设置目标桶的ACL权限,单击“确认”,如图1所示。
权限后才能查询授权 data+查询华为云算子模板详情 数据工坊 DWR 需要增加dwr:workflow:getSystemActionTemplate权限后才能查询华为云算子模板详情 data+查询华为云算子模板列表 数据工坊 DWR 需要增加dwr:workflow:listSystemActionTemplates
权限及授权项说明 如果您需要对您所拥有的对象存储服务(OBS)进行精细的权限管理,您可以使用统一身份认证服务(Identity and Access Management,简称IAM),如果当前的华为云账号已经能满足您的要求,不需要创建独立的IAM用户,您可以跳过本章节,不影响您使用
企业数据权限控制最佳实践 部门公共数据权限管理 部门/项目之间数据共享 给业务部门授予独立的资源权限 业务部门之间桶资源隔离
对其他账号授予指定对象的指定操作权限 场景介绍 本案例介绍如何为其他账号授予OBS桶中指定对象的指定操作权限,此处以授予下载对象的权限为例。 如果需要配置其他指定的权限,在桶策略的动作名称中选择对应动作即可。
权限和授权项 权限及授权项说明 桶相关授权项 对象相关授权项
多版本对象权限 开发过程中,您有任何问题可以在github上提交issue,或者在华为云对象存储服务论坛中发帖求助。接口参考文档详细介绍了每个接口的参数和使用方法。
对其他账号授予桶的读写权限 场景介绍 本案例介绍如何为其他华为云账号授予OBS桶的读写权限。这里的账号指华为云账号本身,不包含账号下的IAM用户,如果要为IAM用户授权,请参见对其他账号下的IAM用户授予桶和桶内资源的访问权限。 推荐配置方法 对其他账号授权,推荐使用桶策略。
OBS权限控制比较灵活,建议您使用前先阅读OBS权限控制说明,不同场景的权限配置方法可以参考典型场景配置案例。 图1 无法访问OBS排查思路 表1 排查思路 可能原因 处理措施 IAM缓存导致权限未生效 由于缓存的存在,配置IAM权限后一般需要10~15分钟权限才能生效。
管理对象访问权限 开发过程中,您有任何问题可以在github上提交issue,或者在华为云对象存储服务论坛中发帖求助。接口参考文档详细介绍了每个接口的参数和使用方法。 对象访问权限与桶访问权限类似,也可支持预定义访问策略(参见桶访问权限)或直接设置。
权限控制方式介绍 IAM权限 桶策略 ACL
对单个IAM用户授予桶的读写权限 场景介绍 本案例介绍如何为华为云账号下的某个IAM用户授予OBS桶的读写权限。 推荐配置方法 对单个IAM用户授予资源级别权限,推荐使用桶策略。
权限相关 给用户配置OBS系统权限或桶读写权限后仍然提示拒绝访问,请检查相应权限 已配置OBS权限,仍然无法访问OBS(403 AccessDenied) 桶策略和对象策略之间有什么关系? 如何对OBS桶下面的文件夹进行权限控制?
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
