检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
管理对象访问权限 开发过程中,您有任何问题可以在github上提交issue,或者在华为云对象存储服务论坛中发帖求助。接口参考文档详细介绍了每个接口的参数和使用方法。 对象访问权限与桶访问权限类似,也可支持预定义访问策略(参见桶访问权限)或直接设置。 对象访问权限(ACL)可以通过三种方式设置:
不可以 可以 IAM权限应用场景 IAM权限主要面向对同账号下IAM用户授权的场景: 使用策略控制账号下整个云资源的权限时,使用IAM权限授权。 使用策略控制账号下OBS所有的桶和对象的权限时,使用IAM权限授权。 使用策略控制账号下OBS指定资源的权限时,使用IAM权限授权。 策略结构&语法
属于OBS权限。某些服务级的权限(例如创建桶、列举所有桶)无法通过OBS权限进行配置,只能在IAM权限中配置,OBS权限只能作用于资源级(桶和对象)。如果要同时授予OBS服务级权限和资源级权限,必须使用IAM权限,或者IAM权限与OBS权限结合使用。 图2 OBS权限与IAM权限的关系
对其他账号授予指定对象的读权限 场景介绍 本案例介绍如何为其他账号授予OBS桶中某个对象或某类对象的读权限。这里的账号指华为云账号本身,不包含账号下的IAM用户,如果要为IAM用户授权,请参见对其他账号下的IAM用户授予桶和桶内资源的访问权限。 推荐配置方法 对其他账号授权,推荐使用桶策略。
对其他账号授予指定对象的指定操作权限 场景介绍 本案例介绍如何为其他账号授予OBS桶中指定对象的指定操作权限,此处以授予下载对象的权限为例。 如果需要配置其他指定的权限,在桶策略的动作名称中选择对应动作即可。OBS支持的动作 这里的账号指华为云账号本身,不包含账号下的IAM用户,
默认情况下,新建的IAM用户没有任何权限,您需要将其加入用户组,并给用户组授予策略或角色,才能使用户组中的用户获得相应的权限,这一过程称为授权。授权后,用户就可以基于已有权限对云服务进行操作。 关于IAM中和OBS相关的策略和角色介绍,请参见权限管理。关于IAM权限的语法结构及示例,请参见IAM权限。 权限
PERMISSION_READ_ACP 写ACP权限 如果有写ACP的权限,则可以更新对应桶或对象的权限控制列表(ACL)。 桶或对象的所有者永远拥有写对应桶或对象的ACP的权限。 拥有了写ACP的权限,由于可以更改权限控制策略,实际上意味着拥有了完全访问的权限。 Permission.PERMISSION_WRITE_ACP
桶的拥有者默认永远具有ACL的读取权限。 写入权限 此权限可以更新对应桶的权限控制列表。 桶的拥有者默认永远具有ACL的写入权限。 对象ACL的访问权限如表3所示: 表3 对象ACL访问权限 权限 选项 描述 对象访问权限 读取权限 此权限可以获取该对象内容和元数据。 ACL访问权限 读取权限 此权限可以获取对应的对象的权限控制列表。
权限和授权项 权限及授权项说明 桶相关授权项 对象相关授权项
配置桶ACL权限 OBS Browser+可以配置拥有者、匿名用户、特定用户对应的ACL权限。 操作步骤 登录OBS Browser+。 选中待配置的桶,单击“桶ACLs”。 根据需求设置目标桶的ACL权限,单击“确认”,如图1所示。 图1 配置ACL 当用户新创建一个桶时,如果不指定相应的ACL权限,OBS
对单个IAM用户授予桶的读写权限 场景介绍 本案例介绍如何为华为云账号下的某个IAM用户授予OBS桶的读写权限。 推荐配置方法 对单个IAM用户授予资源级别权限,推荐使用桶策略。 配置须知 本案例预置的“桶读写”模板允许指定IAM用户对整个桶及桶内所有对象执行除以下权限以外的所有权限: DeleteBucket:删除桶
对其他账号下的IAM用户授予桶和桶内资源的访问权限 场景介绍 本案例介绍如何为其他华为云账号下的IAM用户授予OBS桶和桶内资源的访问权限。 此处以授予上传和下载桶内对象的权限为例。如果需要配置其他指定的权限,在桶策略和给IAM用户授权中配置对应的权限即可。 推荐配置方法 对其他账号下的I
权限管理 OBS资源权限管理 OBS桶和对象的权限可以通过IAM用户权限、桶策略和ACL共同控制,本章节介绍使用IAM进行权限管理。 更多关于OBS资源权限管理的内容请参见权限管理。 如果您需要对购买的OBS资源,为企业中的员工设置不同的用户访问权限,以达到不同员工之间的权限隔离
企业数据权限控制最佳实践 部门公共数据权限管理 部门/项目之间数据共享 给业务部门授予独立的资源权限 业务部门之间桶资源隔离
表1 典型权限场景配置案例 权限场景 场景配置案例 对当前账号下单个IAM用户授权 对单个IAM用户授予创建桶和列举桶的权限 对单个IAM用户授予桶的读写权限 对单个IAM用户授予桶的指定操作权限 对单个IAM用户授予指定对象的读权限 对单个IAM用户授予指定对象的指定操作权限 对当前账号下多个IAM用户或用户群组授权
enums.PermissionWriteAcp 完全控制权限 如果有桶的完全控制权限意味着拥有读权限、写权限、读ACP权限和写ACP权限的权限。 如果有对象的完全控制权限意味着拥有读权限、读ACP权限和写ACP权限的权限 ObsClient.enums.PermissionFullControl
因。 OBS权限控制比较灵活,建议您使用前先阅读OBS权限控制说明,不同场景的权限配置方法可以参考典型场景配置案例。 图1 无法访问OBS排查思路 表1 排查思路 可能原因 处理措施 IAM缓存导致权限未生效 由于缓存的存在,配置IAM权限后一般需要10~15分钟权限才能生效。请等待10~15分钟后再试。
多版本对象权限 开发过程中,您有任何问题可以在github上提交issue,或者在华为云对象存储服务论坛中发帖求助。接口参考文档详细介绍了每个接口的参数和使用方法。 设置多版本对象访问权限 您可以通过ObsClient.setObjectAcl接口指定VersionId参数设置多版本对象的访问权限,示例代码如下:
的读取权限,请检查用户权限配置是否正确。 如果能显示对象列表,表示当前用户拥有读取权限,请执行下一步骤。 在“对象”页面,进行上传、删除对象等写删操作。 如果能够进行写删,表示普通用户的只读权限配置失败,请检查用户权限配置是否正确。 如果不能写删对象,表示普通用户的只读权限配置正确。
ACL权限 桶ACL的访问权限如表2所示: 表2 桶ACL访问权限 权限 选项 描述 桶访问权限 读取权限 此权限可以获取该桶内对象列表和桶的元数据。 写入权限 此权限可以上传、覆盖和删除该桶内任何对象。 对象权限 对象读权限 此权限可以获取该桶内对象的内容和对象的元数据。 说明:
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
