作者:池桂梅, QingStor 存储产品文档工程师。主要负责 QingStor 存储线的相关产品的文档工作。
在第五期的文章中,我们曾以“乔巴的大包”为例,讲述了 QingStor 对象存储中关于数据存取及加密相关的知识。今天,作者将继续用“乔巴的大包”来为大家解读存储空间的授权问题。
往期回顾:对象存储手把手教五 | 数据存储与加密
一 故事背景
随着航海征程的推进,战斗随时打响,这就意味着伤亡随时随地都会出现。而作为医生的乔巴,救死扶伤,是在所难免的。可是,根据战斗的规模,比如一两个伤亡,乔巴可以应付,伤亡惨重的场景里,乔巴也只能急的嗷嗷大叫啊。这个时候,给乔巴配备助手,也是迫在眉睫啊。
草帽海贼团招收队友的标准,大家是知道的,一时半会儿,上哪儿去找助手配给乔巴呢?
“其实,我只需要一个人能按照我的要求,领用我背包里面的物品就可以了”,乔巴如是说。
针对乔巴的需求,QingStor 对象存储这次又能提供怎样的解决方案呢?
二 什么是 Policy
QingStor 对象存储提供 Bucket Policy 用于向其他青云 QingCloud 用户赋予相应存储空间及其对象的访问权限。
也就是说,通过该功能,乔巴可以给路飞,或者娜美等草帽海贼团的成员分配权限,使得他们可以访问乔巴存储于 QingStor 对象存储空间的背包。但是鉴于该背包内物品的重要性的不同,乔巴需要指明哪些物品是可以随便拿,哪些物品是只能看看,哪些物品是看都不能看的。
QingStor 对象存储的 Policy 功能,完美的解决了乔巴的难题。那具体是怎么做的呢?下面我们将详细说明。
三 如何使用Policy
3.1 Console
为方便操作,QingStor 对象存储提供了友好的界面应用程序,供乔巴来设置其存储空间的 Policy。详细步骤如下:
步骤1: 进入 QingCloud 的主页面,点击“产品服务 -> 存储服务 -> 对象存储”:
步骤2: 进入 QingStor 对象存储空间列表页面,点击待操作的存储空间:
步骤3: 进入存储空间详细页面后,点击“设置 -> 存储空间策略 -> 添加规则”:
步骤4: 进入策略设置页面,根据提示信息,填写相关参数,点击保存即可:
通过设置 “响应动作” ,“用户” 以及 “操作”,乔巴可以给指定的队友赋予可执行或不可执行某项动作的权限。通过设置 “Referer” 来指定该权限适用的具体物品。
如乔巴需要给娜美赋予可以获取整个背包内的物品的权限,设置后的规则如下:
由于路飞比较粗心,乔巴要拒绝路飞获取背包内的物品,设置后的规则如下:
3.2 API
QingStor 对象存储也提供 API,供乔巴来设置其存储空间的 Policy。
3.2.1 GET Bucket Policy
若乔巴想查看当前存储空间已经设置的存储空间 Policy,可以使用 GET Bucket Policy,无需携带多余的信息。但是被赋予该存储空间访问权限的娜美,就不能使用该 API 来获取乔巴已经设置的存储空间 Policy 了。
从存储空间安全的角度考虑,QingStor 对象存储仅允许存储空间的所有者调用该 API。
具体可以这样做:
请求示例:
GET /?policy HTTP/1.1
Host: mybucket.pek3a.qingstor.com
Date: Sun, 16 Aug 2015 09:05:00 GMT
Authorization: authorization string
响应示例:
HTTP/1.1 200 OK
Server: QingStor
Date: Sun, 16 Aug 2015 09:05:02 GMT
Content-Length: 300
Connection: close
x-qs-request-id: aa08cf7a43f611e5886952542e6ce14b
{
"statement": [
{
"id": "allow everyone to get and create objects",
"user": "*",
"action": ["get_object", "create_object"],
"effect": "allow",
"resource": ["mybucket/*"],
"condition":{
"string_like": {
"Referer": ["*.example1.com", "*.example2.com"]
}
}
},
{
"id": "allow everyone to head bucket",
"user": "*",
"action": "head_bucket",
"effect": "allow",
"condition":{
"string_like": {
"Referer": ["*.example3.com", "*.example4.com"]
},
"string_not_like": {
"Referer": ["*.service.example3.com"]
}
}
}
]
}
3.2.2 PUT Bucket Policy
若当前存储空间没有设置相应的 Policy,或已经设置的 Policy 满足不了乔巴的需求,这个时候,乔巴可以使用 PUT Bucket Policy 来设置新的存储空间策略。但是,被赋予该存储空间访问权限的娜美,就不能使用该 API 来设置乔巴的存储空间 Policy 了。
使用该 API 时,消息体需携带详细的 Policy 参数,用以设置 Policy。参数列表如下:
具体可以这样做:
请求示例:
PUT /?policy HTTP/1.1
Host: mybucket.pek3a.qingstor.com
Date: Sun, 16 Aug 2015 09:05:00 GMT
Content-Length: 300
Authorization: authorization string
{
"statement": [
{
"id": "allow certain site to get objects",
"user": "*",
"action": ["get_object"],
"effect": "allow",
"resource": ["mybucket/*"],
"condition": {
"string_like": {
"Referer": [
"*.example1.com",
"*.example2.com"
]
}
}
},
{
"id": "allow user-henry to list objects and create objects",
"user": "user-henry",
"action": ["list_objects", "create_object"],
"resource": ["mybucket/*"],
"effect": "allow"
}
]
}
响应示例:
HTTP/1.1 200 OK
Server: QingStor
Date: Sun, 16 Aug 2015 09:05:02 GMT
Content-Length: 0
Connection: close
x-qs-request-id: aa08cf7a43f611e5886952542e6ce14b
3.2.3 DELETE Bucket Policy
若当前存储空间已经设置的 Policy 满足不了乔巴的需求,这个时候,乔巴可以使用 DELETE Bucket Policy 来删除已有的存储空间策略。但是,被赋予该存储空间访问权限的娜美,就不能使用该 API 来删除乔巴的存储空间 Policy 了。
乔巴删除自己的存储空间策略,无需携带额外的信息。具体可以这样做:
请求示例:
DELETE /?policy HTTP/1.1
Host: mybucket.pek3a.qingstor.com
Date: Sun, 16 Aug 2015 09:05:00 GMT
Authorization: authorization string
响应示例:
HTTP/1.1 204 NoContent
Server: QingStor
Date: Sun, 16 Aug 2015 09:05:02 GMT
Content-Length: 0
Connection: close
x-qs-request-id: aa08cf7a43f611e5886952542e6ce14b
四 结尾
乔巴使用这个功能,详细的设置了各位队友的权限,比如路飞不能访问背包;比如佐隆可以从背包里获取消炎药,治疗刀伤砍伤的药;比如乔治可以从背包里获取治疗烫伤的药等等。
通过 QingStor 对象存储的 Policy 功能,详细而又完善的设置了各位队友操作这个背包的权限。使得在紧急时刻,各位队友都能方便的拿到自己可以拿到的物品,以协助乔巴来救治伤员。
QingStor 对象存储在这里提醒各位,只有存储空间的所有者,才能使用该项功能哦!
更多文章
存储大师班
对象存储手把手教五 | 数据存取与加密
gg: 像写 Golang 一样生成代码
QingStor 招聘存储测试/运维/研发工程师
本文由博客一文多发平台 OpenWrite 发布!