检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
典型场景配置案例 权限典型场景一览 对当前账号下单个IAM用户授权 对当前账号下多个IAM用户或用户群组授权 对其他账号授权 对所有账号授权 临时授权访问OBS 让IAM用户只能看到被授权的桶 限制指定的IP地址访问桶
为什么通过控制台设置匿名用户桶ACL后,旧配置中的delivered属性会被覆盖为false? OBS控制台目前不支持设置匿名用户的桶ACL权限继承关系(即不支持配置delivered属性),如需配置请使用OBS SDK或API操作。 如果您通过SDK或API配置了匿名用户的de
示,使用者最终的有效权限即为设置的临时权限。 图2 临时权限设置在IAM用户权限范围内 临时策略的权限判断同样遵循Deny优先的原则,对于未设置的权限则默认拒绝。 设置临时策略时,因不设置的权限将默认拒绝,所以建议只设置显式的Allow权限即可。 应用场景 临时访问密钥主要用于授
对IAM用户组授予OBS指定文件夹的指定操作权限 场景介绍 本案例介绍如何为华为云账号下的多个IAM用户或用户群组授予OBS某个桶下指定文件夹的指定操作权限。 推荐配置方法 IAM自定义策略 配置须知 按照本案例配置后,可以正常通过API或SDK完成权限所允许的操作,但如果通过控制台或OBS
Tenant Administrator 拥有该权限的用户拥有除IAM外,其他所有服务的所有执行权限。 系统角色 Tenant Guest 拥有该权限的用户拥有除IAM外,其他所有服务的只读权限。 系统角色 OBS Administrator 拥有该权限的用户为OBS管理员,可以对账号下的所有OBS资源执行任意操作。
通过OBS控制台分享的文件或文件夹,有效期的范围为1分钟到18小时。如果想要设置更长的有效期,建议使用客户端工具OBS Browser+,OBS Browser+最长支持1年的有效期。如果想要设置永久的权限,请通过桶策略向所有账号授予指定对象的读权限。 仅桶版本号为3.0的桶支持文件和文件夹分享功能。桶
对IAM用户组授予OBS所有资源的指定操作权限 场景介绍 本案例介绍如何为华为云账号下的多个IAM用户或用户群组授予OBS所有资源的指定操作权限。 推荐配置方法 IAM自定义策略 配置须知 按照本案例配置后,可以正常通过API或SDK完成权限所允许的操作,但如果通过控制台或OBS
对IAM用户组授予OBS所有资源的所有操作权限 场景介绍 本案例介绍如何为华为云账号下的多个IAM用户或用户群组授予OBS所有资源的所有操作权限。拥有本权限的IAM用户可以执行任何OBS操作。 推荐配置方法 IAM自定义策略 配置步骤 使用账号登录华为云,在右上角单击“控制台”。
配置结果(请确保已显示“桶策略”这一列)。 图1 桶策略解析结果展示 如果在桶列表无法看到桶策略的配置结果,则需要单击桶列表右边的齿轮,在设置弹窗内手动勾选“桶策略”,单击“确定”,即可打开自定义显示列“桶策略”。 图2 自定义显示列“桶策略” 父主题: 配置桶策略
操作步骤 在OBS管理控制台左侧导航栏选择“桶列表”。 在OBS管理控制台桶列表中,单击待操作的桶,进入“对象”页面。 在左侧导航栏,单击“权限控制 > 桶策略”。 单击“复制”。 选择复制源,即桶策略所在的源桶。 源桶中所有与当前桶不同名的桶策略将在复制列表中展示,您可以按需移除不需要复制的桶策略。
密钥(AK/SK)作为加密因子、结合请求体携带的特定信息计算而成。计算签名的过程已经包含在SDK中,使用者只需将访问密钥在SDK初始化阶段设置好即可,无需关心签名计算的具体实现。但是,如果客户端选择通过REST API自行开发程序对接OBS,则需要按照OBS定义的签名算法来计算签名并添加到请求中。
允许指定账号对整个桶及桶内所有对象执行除以下动作以外的所有动作: DeleteBucket(删除桶) PutBucketPolicy(设置桶策略) PutBucketAcl(设置桶ACL) 排除以上授权操作 所有账号/当前账号/其他账号/委托账号 当前桶+指定对象 目录只读 如图5所示 允许所有
READ 读权限。 如果有桶的读权限,则可以获取该桶内对象列表、桶内多段任务、桶的元数据、桶的多版本。 如果有对象的读权限,则可以获取该对象内容和元数据。 PERMISSION_WRITE WRITE 写权限。 如果有桶的写权限,则可以上传、覆盖和删除该桶内任何对象和段。 此权限在对象上不适用。
Condition 桶策略条件,详见桶策略参数说明。 Resource 桶策略作用的资源,详见桶策略参数说明。 单击“创建”。 使用API IAM权限控制 设置桶策略 使用SDK Java Python C不支持 Go BrowserJS .NET Android iOS PHP Node.js
对其他账号授权 对其他账号授予桶的读写权限 对其他账号授予桶的指定操作权限 对其他账号下的IAM用户授予桶和桶内资源的访问权限 对其他账号授予指定对象的读权限 对其他账号授予指定对象的指定操作权限 父主题: 典型场景配置案例
如果希望限制网段外的IP地址的客户端访问桶,需要参考对所有账号授权对所有账号授予允许访问的权限。 核对权限配置信息,确认无误后单击“创建”,完成桶策略创建。 权限配置信息可以在桶策略列表查看。 图2 查看桶策略列表权限配置信息 验证 使用114.115.1.0/24网段内的IP地址的客户端访问桶,访问被拒绝。使用114
用于所配置的OBS桶及桶内的对象。 两者的区别是对象策略只针对一个对象,桶策略中针对对象的策略可以配置多个对象或桶中所有对象。 父主题: 权限相关
为提高整体安全能力提供可操作的规范性指导。 企业数据权限控制最佳实践 本最佳实践提供了企业开通OBS后可以设置的四种常见权限控制。 为不同职能部门的员工设置不同的访问权限,以此达到不同部门人员访问公司数据的权限隔离。 设置权限允许其他部门/项目用户下载共享数据,禁止写删。 给各业
设置桶ACL 功能介绍 OBS支持对桶操作进行权限控制。默认情况下,只有桶的创建者才有该桶的读写权限。用户也可以设置其他的访问策略,比如对一个桶可以设置公共访问策略,允许所有人对其都有读权限。 OBS用户在创建桶时可以设置权限控制策略,也可以通过ACL操作API接口对已存在的桶更改或者获取ACL(access
配置到桶上,并且在xml文件中<LoggingEnabled>标签下配置相应的日志管理功能。在为委托配置权限时只需设置目标桶的上传对象权限。 委托权限示例 { "Version": "1.1", "Statement": [ {
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
