所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

FusionCloud 6.3.1 用户指南 (Region Type I) 10

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置桶策略

配置桶策略

桶策略定义了OBS中的资源(桶和对象)的访问控制策略。

前提条件

  • 已获取登录ManageOne运营面的VDC管理员或VDC业务员的帐号和密码。
  • 至少已创建了一个桶。

注意事项

当前桶为独享桶时,授权的跨租户用户上传的对象,无法被桶的拥有者所在租户中的所有用户访问。桶的拥有者也需要被授予对象的访问权限,才能访问该对象。

背景信息

创建独享桶时,系统默认自动生成两条独享桶策略,显示在桶策略列表中的前两条,用于标识独享桶的访问模式。管理权限角色用户可以在桶策略列表中查看并管理独享桶策略。

操作步骤

  1. 使用浏览器,以VDC管理员或VDC业务员帐号登录ManageOne。

    非B2B场景登录地址:https://ManageOne控制台主页的访问地址。例如,https://console.demo.com。

    B2B场景登录地址:https://ManageOne租户的访问地址。例如,https://tenant.demo.com。

  2. 在导航栏左上角下拉框选择地域和Project。
  3. 选择存储 > 对象存储服务
  4. 单击需要操作的桶名称。
  5. 单击“权限”页签,并选择“桶策略”。
  6. 单击“增加”

  7. 在“增加”页面输入指定的桶策略。

    下面的示例中需要用户手动修改的参数介绍如表6-11
    表6-11 参数修改

    需要修改的参数

    解释

    效果

    桶策略的效果。

    • 接受:指定本条桶策略描述的权限为接受请求。
    • 拒绝:指定本条桶策略描述的权限为拒绝请求。

    被授权用户

    桶策略作用于的租户或用户的ID。

    • 包含:指定作用于某用户。
    • 排除:指定不作用于某用户。
    • 用户:选择当前已有用户。
    • 其他:按格式要求输入用户。
      说明:

      租户ID和用户ID可通过单击ManageOne运营面右上角的用户名,选择“个人设置”,进入“个人设置”页面查询。

    动作

    桶策略描述的操作。

    • 包含:指该动作描述的操作生效。
    • 排除:指该动作描述的操作不生效。
    • 通用(推荐):
      • 只读:被授权用户将拥有桶内指定对象的读权限。
      • 读写:被授权用户将拥有桶内指定对象的读写权限。
      • 桶策略:自定义配置被授权用户可以拥有的桶或对象的操作权限。
    • 高级:OBS支持的所有操作集合,以字符串形式表示,不区分大小写。支持通配符“*”,表示该资源能进行的所有操作。例如:"Action":["s3:List*", "s3:Get*"]。此处需要根据用户实际需要修改。详情请参见动作和条件的详细解释

    资源

    桶策略作用于的资源。多个资源使用英文逗号分隔。支持通配符“*”,表示当前桶内所有资源。如果不指定资源,则表示配置与桶及桶内所有对象相关的策略。

    • 包含:指对该OBS资源生效。
    • 排除:指不对该OBS资源生效。

    资源的类型与动作相关:

    • 资源为对象或对象集时,“动作”只能配置对象相关的动作。
    • 资源为桶时,“动作”只能配置桶相关的动作。

    条件

    桶策略生效的条件详情请参见动作和条件的详细解释

  8. 单击“确定”。

    您可以在桶策略列表中查看已增加的桶策略。

  9. 选择一个已有桶策略,单击“编辑”进行修改。

    编辑独享桶策略后,该独享桶的访问模式将变为共享且无法恢复,请谨慎操作。

  10. 选择一个已有桶策略,单击“删除”,删除不再使用的桶策略。

    您也可以单击“清除”,删除列表中的所有桶策略。

    删除独享桶策略后,该独享桶的访问模式将变为共享且无法恢复,桶内数据将存在安全风险或无法访问,请谨慎操作。

典型场景

  1. 向OBS租户授予权限。下面的实例,允许租户(租户ID为783fc6652cf246c096ea836694f71855)获取当前桶logging.bucket3的日志管理信息。需要用户手动修改的参数如表6-12所示。
    表6-12 参数修改

    参数

    参数的值

    解释

    效果

    允许

    桶策略的效果。

    被授权用户

    其他

    783fc6652cf246c096ea836694f71855:root

    租户的ID,需根据实际需要修改。

    动作

    高级

    GetBucketLogging

    获取桶日志管理的相关信息,此处需要根据用户实际需要修改。

    资源

    -

    若为与桶相关的动作,此处可为空,表示为作用于本桶。若为与对象相关的动作,此处不能为空,*代表桶内所有的对象。

  2. 向OBS用户授予权限。下面的示例,允许租户(租户ID为783fc6652cf246c096ea836694f71855)下的用户(用户ID为71f3901173514e6988115ea2c26d1999)获取当前桶logging.bucket3的日志管理信息。需要用户手动修改的参数如表6-13所示。
    表6-13 参数修改

    参数

    参数的值

    解释

    效果

    允许

    桶策略的效果。

    被授权用户

    其他

    783fc6652cf246c096ea836694f71855:user/71f3901173514e6988115ea2c26d1999

    用户ID获取方法同租户ID,需根据实际需要修改。

    动作

    高级

    GetBucketLogging

    获取桶日志管理的相关信息,此处需要根据用户实际需要修改。

    资源

    -

    若为与桶相关的动作,此处可为空,表示为作用于本桶。若为与对象相关的动作,此处不能为空,*代表桶内所有的对象。

  3. 限制特定地址对指定桶的访问权限。

    下面的示例,限制“www.example.com”这个地址访问桶名为“mybucket”这个桶中所有对象的权限。需要用户手动修改的参数如表6-14所示。

    表6-14 参数修改

    参数

    参数的值

    解释

    效果

    拒绝

    桶策略的效果。

    被授权用户

    其他

    *

    通配符,表示所有用户都被授权操作。

    动作

    高级

    *

    通配符,表示该资源能进行的所有操作。

    资源

    -

    若为与桶相关的动作,此处可为空,表示为作用于本桶。若为与对象相关的动作,此处不能为空,*代表桶内所有的对象。

    条件

    • 条件运算符:StringEquals
    • 键:Referer
    • 值:www.example.com

    条件运算符:字符串匹配

    键:请求从哪个链接发起

  4. 限制访问桶中对象的起始时间和结束时间。下面的示例,设定所有用户访问桶名为“mybucket”这个桶中所有对象的起始时间和结束时间。需要用户手动修改的参数如表6-15所示。
    表6-15 参数修改

    参数

    参数的值

    解释

    效果

    允许

    桶策略的效果。

    被授权用户

    其他

    *

    通配符,表示所有用户都被授权操作。

    动作

    高级

    *

    通配符,表示该资源能进行的所有操作。

    资源

    -

    若为与桶相关的动作,此处可为空,表示为作用于本桶。若为与对象相关的动作,此处不能为空,*代表桶内所有的对象。

    条件

    • 条件运算符:DateLessThan,DateGreaterThanEquals
    • 键:CurrentTime,CurrentTime
    • 值:2017-09-26,2017-09-27

    DateLessThan:日期时间小于。

    DateGreaterThanEquals:日期时间大于等于。

    CurrentTime:服务器接收请求的时间,格式满足ISO8601标准。

翻译
下载文档
更新时间:2019-08-15

文档编号:EDOC1100043090

浏览量:13389

下载量:555

平均得分:
本文档适用于这些产品
相关文档
相关版本
Share
上一页 下一页