问题目录
对象存储ZOS一共有哪几种权限管控方式,分别适合什么场景?
共四类权限,适用场景区分如下:
IAM权限:管控同账号下子用户的操作,适合批量给多个桶统一授权,定义该用户可以访问哪些ZOS资源;
桶策略(Bucket Policy):作用于所配置的桶及桶内对象,支持细粒度自定义授权,定义哪些用户可以访问此Bucket中的资源;
ACL:桶ACL控制存储桶的默认访问权限,对象ACL控制单个对象的权限;
STS临时授权:生成短期临时凭证,用于前端直传、第三方临时访问,不泄露永久AK。
哪些典型场景推荐使用IAM进行权限管理?
要对同账号下的IAM子用户授予权限时;
要给多个桶配置相同权限时;
要配置ZOS服务级权限时,如创建桶、列举桶。
哪些典型场景推荐使用桶策略(Bucket Policy)进行权限管理?
要进行跨账号授权或对所有用户授权时;
授权多个用户访问特定Bucket时。
哪些典型场景推荐使用ACL进行权限管理?
以下简单场景推荐使用ACL。在更多的情况下,推荐您优先使用桶策略或IAM权限,灵活程度更高。
仅需要为桶和对象设置一些简单的访问权限或开放匿名访问时;
IAM权限或桶策略已授予用户或桶的访问权限,还想进一步对其中某一个对象再进行单独授权时。
IAM有哪些系统策略可以使用?
IAM已经预置以下两个系统策略:
zos admin:ZOS全量操作权限,包含创建/删除桶、上传/删除对象、修改权限、配置生命周期等全部操作;
zos viewer:只读权限,包含列举桶、下载、查看对象等,无任何写入、删除、修改权限。
如需更精细化的权限,可创建自定义IAM策略。
天翼云主账号和新建IAM用户的默认权限有什么区别?
主账号拥有当前账号下ZOS全部操作权限,无权限限制。
刚创建的IAM用户默认无任何ZOS权限,必须加入用户组并绑定权限策略后才能操作对象存储。
IAM用户可以通过IAM策略授权实现跨天翼云账号访问其他桶吗?
不可以。
IAM权限仅管控本主账号内资源。跨账号访问桶只能通过对方桶策略添加己方账号授权。
如何通过IAM策略给用户授予桶内文件夹的访问权限?
授权以下策略,用户可以对mybucket桶的文件夹dir进行上传和下载对象操作。
{
"Version": "1.1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"zos:Object:Get",
"zos:Object:Put"
],
"Resource": [
"ctrn:zos:::mybucket/dir/*"
]
}
]
}桶策略Effect为Deny和Allow优先级谁更高?
Deny拒绝语句优先级高于所有IAM策略、桶ACL;只要任意一条桶策略匹配Deny规则,无论账号是否拥有IAM权限,访问都会被拒绝。
桶策略授权用户分三种类型,分别怎么填写?
所有账号:Principal 填*,高危谨慎使用;
子账号:当前主账号下的子账号,可多选;
其他账号:分行填写被授权的主账号或子账号IAM ID。
