Вы можете использовать Identity and Access Management (IAM) для управления разрешениями OBS и контроля доступа к вашим ресурсам. IAM предоставляет аутентификацию идентификации, управление разрешениями и контроль доступа.
Вы можете создавать IAM‑пользователей для своих сотрудников и назначать им разрешения на основе принципа наименьших привилегий (PoLP), чтобы контролировать их доступ к определённым типам ресурсов. Например, вы можете создавать IAM‑пользователей для разработчиков программного обеспечения и назначать им конкретные разрешения, позволяющие использовать ресурсы OBS, но запрещающие удалять ресурсы или выполнять операции с высоким риском.
Если вашему аккаунту не требуется индивидуальных IAM‑пользователей для управления разрешениями, пропустите этот раздел.
IAM — бесплатный сервис. Вы платите только за ресурсы в своём аккаунте. Для получения дополнительной информации об IAM см. раздел "Service Overview" в Identity and Access Management Руководство пользователя.
OBS Разрешения
По умолчанию новые пользователи IAM не имеют назначенных прав. Вы можете назначать права этим пользователям, добавляя их в одну или несколько групп и присоединяя политики к группам. IAM предоставляет предустановленные системные политики, определяющие общие права для различных сервисов, таких как полный контроль доступа и только чтение. Вы можете напрямую использовать эти предустановленные политики.
OBS — это глобальный сервис, развернутый и доступный без указания физического региона. Права OBS назначаются пользователям в глобальном проекте, и пользователям не нужно переключать регионы при доступе к OBS.
Типы политик
- Политика RBAC: политика RBAC состоит из прав для всего сервиса. Пользователи в группе с такой назначенной политикой получают все необходимые права, включая права доступа и управления этим сервисом. Политики RBAC не поддерживают контроль прав, специфичный для операций.
- Политика Fine-grained: политика Fine-grained состоит из прав, основанных на API, для операций над конкретными типами ресурсов. Политики Fine-grained, как следует из названия, позволяют более детальный контроль, чем политики RBAC. Пользователи с такими детальными правами могут выполнять только определённые операции над сервисами.
Из‑за кэширования данных политика RBAC или детализированная политика, включающая действия OBS, вступит в силу через 10‑15 минут после её привязки к пользователю, enterprise проекту или группе пользователей.
Таблица 1 перечисляет все системные политики OBS.
Политика | Описание | Тип политики |
|---|---|---|
Тенант Администратор | Позволяет выполнять любые операции со всеми облачными ресурсами учетной записи. Политики OBS настраиваются в Глобальная служба > OBS. | Политика RBAC |
Тенант Гость | Позволяет выполнять операции только для чтения со всеми облачными ресурсами учетной записи. Политики OBS настраиваются в Глобальный сервис > OBS. | RBAC политика |
OBS Buckets Viewer | Позволяет перечислять бакеты, получать базовую информацию о бакете и его метаданные, а также перечислять объекты. Политики OBS настраиваются в Глобальный сервис > OBS. | RBAC политика |
OBS Viewer | Позволяет перечислять бакеты, получать базовую информацию о бакете и его метаданные, а также перечислять объекты. Эта политика — это системно-определенная политика тонкой авторизации. Пользователи с тонкой авторизацией могут использовать эту политику и создавать пользовательский шаблон политики на её основе. Политики OBS настраиваются в Глобальный сервис > OBS. | Политика тонкой гранулярности |
OBS Operator | Позволяет выполнять все операции, определённые в OBS Viewer и выполнять основные операции с объектами, такие как загрузка объектов, скачивание объектов, удаление объектов и получение ACL объектов. Эта политика является системно-определённой политикой тонкой гранулярности. Пользователи с тонкой гранулярностью авторизации могут использовать эту политику и создавать пользовательские шаблоны политик на её основе. Политики OBS настраиваются в Глобальный сервис > OBS. | Политика тонкой гранулярности |
В следующей таблице перечислены операции, которые могут быть выполнены в рамках каждого набора прав OBS.
Операция | Тенант Администратор | Тенант Гость | OBS Просмотр бакетов | OBS Просмотр | OBS Оператор |
|---|---|---|---|---|---|
Список бакетов | Поддерживается | Поддерживается | Поддерживается | Поддерживается | Поддерживается |
Создание бакетов | Поддерживается | Не поддерживается | Не поддерживается | Не поддерживается | Не поддерживается |
Удаление бакетов | Поддерживается | Не поддерживается | Не поддерживается | Не поддерживается | Не поддерживается |
Получение базовой информации о Бакете | Поддерживается | Поддерживается | Поддерживается | Поддерживается | Поддерживается |
Контроль доступа к Бакету | Поддерживается | Не поддерживается | Не поддерживается | Не поддерживается | Не поддерживается |
Управление политиками Бакета | Поддерживается | Не поддерживается | Не поддерживается | Не поддерживается | Не поддерживается |
Изменение классов хранения Бакет | Поддерживается | Не поддерживается | Не поддерживается | Не поддерживается | Не поддерживается |
Перечисление объектов | Поддерживается | Поддерживается | Поддерживается | Поддерживается | Поддерживается |
Перечисление объектов с несколькими версиями | Поддерживается | Поддерживается | Не поддерживается | Не поддерживается | Не поддерживается |
Загрузка файлов | Поддерживается | Не поддерживается | Не поддерживается | Не поддерживается | Поддерживается |
Создание папок | Поддерживается | Не поддерживается | Не поддерживается | Не поддерживается | Поддерживается |
Удаление объектов | Поддерживается | Не поддерживается | Не поддерживается | Не поддерживается | Поддерживается |
Удаление папок | Поддерживается | Не поддерживается | Не поддерживается | Не поддерживается | Поддерживается |
Скачивание объектов | Поддерживается | Поддерживается | Не поддерживается | Не поддерживается | Поддерживается |
Удаление версий объектов | Поддерживается | Не поддерживается | Не поддерживается | Не поддерживается | Поддерживается |
Скачивание версий объектов | Поддерживается | Поддерживается | Не поддерживается | Не поддерживается | Поддерживается |
Изменение классов хранения объектов | Поддерживается | Не поддерживается | Не поддерживается | Не поддерживается | Не поддерживается |
Восстановление объектов | Поддерживается | Не поддерживается | Не поддерживается | Не поддерживается | Не поддерживается |
Восстановление объектов | Поддерживается | Не поддерживается | Не поддерживается | Не поддерживается | Поддерживается |
Удаление фрагментов | Поддерживается | Не поддерживается | Не поддерживается | Не поддерживается | Поддерживается |
Контроль доступа к объектам | Поддерживается | Не поддерживается | Не поддерживается | Не поддерживается | Не поддерживается |
Настройка метаданных объекта | Поддерживается | Не поддерживается | Не поддерживается | Не поддерживается | Не поддерживается |
Получение метаданных объекта | Поддерживается | Поддерживается | Не поддерживается | Не поддерживается | Поддерживается |
Управление версиями | Поддерживается | Не поддерживается | Не поддерживается | Не поддерживается | Не поддерживается |
Управление журналированием | Поддерживается | Не поддерживается | Не поддерживается | Не поддерживается | Не поддерживается |
Управление уведомлениями о событиях | Поддерживается | Не поддерживается | Не поддерживается | Не поддерживается | Не поддерживается |
Управление тегами | Поддерживается | Не поддерживается | Не поддерживается | Не поддерживается | Не поддерживается |
Управление правилами жизненного цикла | Поддерживается | Не поддерживается | Не поддерживается | Не поддерживается | Не поддерживается |
Управление размещением статического веб‑сайта | Поддерживается | Не поддерживается | Не поддерживается | Не поддерживается | Не поддерживается |
Управление правилами CORS | Поддерживается | Не поддерживается | Не поддерживается | Не поддерживается | Не поддерживается |
Управление проверкой URL | Поддерживается | Не поддерживается | Не поддерживается | Не поддерживается | Не поддерживается |
Управление доменными именами | Поддерживается | Не поддерживается | Не поддерживается | Не поддерживается | Не поддерживается |
Управление обработкой изображений | Поддерживается | Не поддерживается | Не поддерживается | Не поддерживается | Не поддерживается |
Добавление данных к объектам | Поддерживается | Не поддерживается | Не поддерживается | Не поддерживается | Поддерживается |
Настройка ACL объекта | Поддерживается | Не поддерживается | Не поддерживается | Не поддерживается | Не поддерживается |
Настройка ACL для версии объекта | Поддерживается | Не поддерживается | Не поддерживается | Не поддерживается | Не поддерживается |
Получение информации об ACL объекта | Поддерживается | Поддерживается | Не поддерживается | Не поддерживается | Поддерживается |
Получение ACL конкретной версии объекта | Поддерживается | Поддерживается | Не поддерживается | Не поддерживается | Поддерживается |
Инициация multipart-загрузки | Поддерживается | Не поддерживается | Не поддерживается | Не поддерживается | Поддерживается |
Список загруженных частей | Поддерживается | Поддерживается | Не поддерживается | Не поддерживается | Поддерживается |
Отмена multipart загрузок | Поддерживается | Не поддерживается | Не поддерживается | Не поддерживается | Поддерживается |
OBS Resource Permissions Management
Доступ к OBS бакетам и объектам может контролироваться разрешениями IAM‑пользователя, политиками бакетов и ACLs.
Для получения дополнительной информации см. Обзор.
- OBS Разрешения
- OBS Управление разрешениями ресурсов