OBS管理2

一、桶策略和对象策略

1、桶策略是作用于所配置的OBS桶及桶内对象的。OBS桶拥有者通过桶策略可为IAM用户或其他账号授权桶及桶内对象的操作权限。

2、标准桶策略:标准桶策略提供三种策略供用户直接设置。

(1)私有:除桶ACL授权外的其他用户无桶的访问权限。

(2)公共读:任何用户都可以对桶内对象进行读操作。

(3)公共读写:任何用户都可以对桶内对象进行读/写/删除操作。

3、桶策略的应用场景:

(1)不用IAM权限控制访问权限的情况下,允许其他账号访问OBS资源,可以使用桶策略的方式授权其他账号对应的权限。

(2)当不同的桶对于不同的IAM用户有不同的访问控制需求时,需使用桶策略分别授权IAM用户不同的权限。

(3)桶拥有者允许其他账号访问自己的桶时,可使用桶策略授权其他账号对应的权限。

二、桶ACL和对象ACL

1、访问控制列表(Access Control List,ACL)是一个指定被授权者和所授予权限的授权列表。OBS桶和对象的ACL是基于账号的访问控制,默认情况下,创建桶和对象时会同步创建ACL,授权拥有者对桶和对象资源的完全控制权限。

2、OBS ACL是基于账号级别的读写权限控制,权限控制细粒度不如桶策略和IAM权限。一般情况下,建议使用IAM权限和桶策略进行访问控制。

3、在以下场景,建议您使用桶ACL:

授予日志投递用户组桶写入权限,用以存储桶访问请求日志。

授予指定账号桶读取权限和桶写入权限,用以共享桶数据或挂载外部桶。比如,账号A授予账号B桶读取权限及桶写入权限后,账号B就可以通过OBS Browser+挂载外部桶、API&SDK等方式访问到该桶。

4、在以下场景,建议您使用对象ACL:

需要对象级的访问权限控制时。桶策略可以授予对象或对象集访问权限,当授予一个对象集权限后,想对对象集中某一个对象再进行单独授权,通过配置桶策略的方法显然不太实际。此时建议使用对象ACL,使得单个对象的权限控制更加方便。

使用对象链接访问对象时。一般使用对象ACL,将某一个对象通过对象链接开放给匿名用户进行读取操作。

上一篇:GaussDB(for MySQL)数据库中的权限回收操作 下一篇:什么是华为云安全冰山体系

对象存储服务 OBS

对象存储服务(Object Storage Service)是一款稳定、安全、高效、易用的云存储服务,具备标准Restful API接口,

可存储任意数量和形式的非结构化数据

 

https://www.huaweicloud.com/product/obs.html

相关推荐