十分钟从入门到精通（下）——OBS权限配置

上一篇我们介绍了OBS权限管理中统一身份认证和企业项目管理，本期我们继续介绍OBS权限管理中的高级桶策略和ACL应用。

您是否也遇到过类似的问题或者困扰？

1、隔壁的主账户给了子用户创建一个桶，但是没有给他设置桶策略，子账户访问报403，困惑了一整天。

2、楼下是另外一个子账号，为了OBS 控制台报无权限访问，百思不得其解。

3、对面一个子账户上传了一个文件，抓破头也无法分享给其他人。

这些问题或者困扰各不相同，下面将分别介绍高级桶策略和ACL应用来解答这些问题和困惑。

高级桶策略介绍：

桶策略是作用于配置桶策略的单个桶的。同时也提供代码模式配置方法，高级桶策略代码最多不能超过20KB。

桶策略参数：

（1）Effect，桶策略效果；指定本条策略描述的权限是允许请求还是拒绝请求。

（2）Action，桶策略动作；指定本条策略可以执行的操作。

（3）Condition，策略生效必须满足的条件，详情参考

https://support.huaweicloud.com/usermanual-obs/obs_03_0120.html

（4）Resource，资源；资源指桶或对象。您可以指定一个对象或对象集，当指定给对象集时，使用通配符（*），例如：file*。如果不输入，则表示指定资源为桶，且在动作处只能选择与桶相关的。多个资源使用英文逗号分隔。

（5）Principal，桶策略被授权用户。

“domain/账号ID”（表示被授权用户为xxx账号）。

“domain/账号ID:user/用户ID”（表示被授权用户为xxx账号下的xxx用户）

控制台：

对应代码模式：

应用案例：

1、配置账号B的一个桶，允许账号A下的a租户只有上传权限，配置如下。其中xxx是需要需要注意的关键配置点。**

2、匿名访问

高级桶策略与IAM授权对比

• IAM的OBS细粒度权限直接授权给IAM用户组，而OBS桶的自身细粒度规则目标只能是一个或者多个IAM用户，对于多用户场景创建和维护的效率较低，如下图所示。

• IAM的OBS细粒度权限可以包含60个Bucket+Object动作规则，而OBS桶自身的细粒度策略中，支持的Bucket+Object动作规则只有34个，如下图所示。这也就意味着IAM的OBS细粒度权限精细度更高。

• IAM的OBS细粒度权限还可以支持“列举所有桶”操作的权限控制，这样的全局性操作控制在OBS桶的自身高级策略中是无法实现的。

• OBS桶的自定义桶策略，设定的Bucket访问权限只能针对该桶自己；而一条IAM的OBS细粒度权限则可以同时适配多个目标OBS桶。

• OBS桶的自定义桶策略，只能控制IAM用户的OBS访问权限，而不能控制其他云服务对OBS资源的访问权限的。IAM的OBS细粒度权限则可以通过委托授权来控制其他云服务对于OBS资源的访问权限。
• 不论是IAM的OBS细粒度权限控制，还是OBS桶自定义的高级桶策略中，桶的访问控制与对象的访问控制是分开定义的，在华为云的OBS服务中，桶的访问控制规则 与 对象的访问控制规则 是分开定义的，当前无法通过一条策略将桶本身和桶内对象都共享出去。

如下所示为OBS桶的自定义高级桶策略：

如下所示为IAM的OBS细粒度权限定义，也需要同时包含桶和对象两条规则

ACL介绍：

基于账号的访问控制。有一个很恰当的比喻：桶owner相当于房东，房东将桶出租给房客(子账户)，子账户可以将贵重物品放到自己的房间里，但是房东没有权利去查看。房客可以给房东钥匙(设置对象ACL)赋予房东权限，使其有访问权限。

应用案例：

步骤1.账号A上传，主账号无权限下载

步骤2.可通过SDK，配置指定主账号具有对象下载权限；

上传者使用Java SDK配置指定账号权限。

这样对象的上传者，就可以将对象的权限赋予给桶owner。

OBS权限的四种方式随心配，让你轻松掌握权限配置管理。OBS权限管理在助力解决不同应用场景下的数据管理诉求下，为用户带来稳定、安全、高效的云端存储体验。

点击关注，第一时间了解华为云新鲜技术~