Object Storage Service

Политики доступа к бакету

Политики доступа применяются к настроенному бакету и объектам в нем. Используя эти политики, владелец бакета может предоставить разрешения на управление бакетом и объектами в нем IAM-пользователям или другим аккаунтам на платформе Advanced.

В OBS можно настроить политики как с применением шаблона действий политик, так и создать политику с полностью индивидуальными настройками.

В этом разделе описано создание, изменение и удаление политик доступа к бакету.

Создание политики из шаблона

В консоли OBS есть шаблоны политик бакета для часто используемых сценариев, которые позволяют создать политику быстро.

Для создания политики из шаблона:

Войдите в консоль управления Advanced:
- через личный кабинет Cloud.ru;
- как IAM-пользователь.
В списке сервисов выберите Object Storage Service.
Нажмите на название бакета.
Слева выберите вкладку Permissions → Bucket Policies.
Нажмите Create.

Укажите параметры в визуальном редакторе Visual Editor:

Параметр	Описание
Policy Name	Укажите название политики.
Effect	Allow — политика разрешает запросы, соответствующие указанным параметрам. Deny — политика запрещает запросы, соответствующие указанным параметрам.
Principals	Выберите, какие пользователи получат доступ к бакету: All accounts — все пользователи платформы Advanced. Аутентификация для пользователей не требуется. Примечание Не рекомендуется предоставлять этот доступ к бакету с конфиденциальными данными. Current account — доступ к бакету получают выбранные IAM-пользователи или аккаунты. Other accounts — доступ к бакету получают IAM-пользователи других аккаунтов. Для этого владельцу бакета нужно прописать их идентификаторы в поле в формате Account ID/IAM user. Как получить User ID и Account ID
Resources	Выберите, к каким ресурсам применится политика: Entire bucket (including the objects in it) — к бакету и всем объектам в нем. При выборе этой настройки будут доступны изменения для бакета и его объектов в поле Actions. Current bucket — только к этому бакету. При выборе этой настройки будут доступны изменения для бакета в поле Actions. Specified objects — к выбранным объектам в бакете. При выборе этой настройки будут доступны изменения для объектов в поле Actions.

В поле Actions выберите Use a template и примените один из шаблонов политик:

Параметр	Ресурс	Шаблон	Значения Actions
All accounts	Entire bucket (including the objects in it)	Public Read	Все пользователи могут выполнять следующие действия с бакетом и объектами в нем: Описание параметров
All accounts	Entire bucket (including the objects in it)	Public Read/Write	Все пользователи могут выполнять следующие действия с бакетом и объектами в нем: Описание параметров
Current account, Other accounts, Delegated accounts	Entire bucket (including the objects in it)	Bucket Read-Only	Указанные аккаунты могут выполнять следующие действия с бакетом и объектами в нем: Get* — все действия с методом GET. List* — все действия с методом LIST. Head Bucket — проверка наличия бакета и получение метаданных из бакета.
Current account, Other accounts, Delegated accounts	Entire bucket (including the objects in it)	Bucket Read/Write	Указанные пользователи могут выполнять все действия за исключением следующих: Описание параметров
All accounts/ Current account/ Other accounts/ Delegated accounts	Current bucket + Specified objects	Directory Read-Only	Все аккаунты или указанные аккаунты могут выполнять следующие действия бакетом и выбранными ресурсами в нем: Описание параметров
	Current bucket + Specified objects	Directory Read/Write	Все аккаунты или указанные аккаунты могут выполнять следующие действия с текущим бакетом и выбранными ресурсами в нем: Описание параметров
All accounts, Current account, Other accounts, Delegated accounts	Specified objects	Object Read-Only	Все аккаунты или указанные аккаунты могут выполнять следующие действия с выбранными ресурсами в бакете: Описание параметров
	Specified objects	Object Read/Write	Все аккаунты или указанные аккаунты могут выполнять следующие действия с выбранными ресурсами в бакете: Описание параметров

Для сохранения настроек политики нажмите Create.

Как получить User ID и Account ID Описание параметров Описание параметров Описание параметров Описание параметров Описание параметров Описание параметров Описание параметров Примеры применения шаблона политик.

Создание индивидуальной политики доступа

В этом разделе описано создание политики с помощью визуального редактора.

См.также

О создании политики с помощью редактора JSON — в инструкции Creating a Custom Bucket Policy (JSON View).

В консоли управления Object Storage Service нажмите на название бакета.
Слева выберите вкладку Permissions → Bucket Policies.
Нажмите Create.

Укажите параметры в визуальном редакторе Visual Editor:

Параметр	Описание
Policy Name	Укажите название политики.
Effect	Allow — политика разрешает запросы, соответствующие указанным параметрам. Deny — политика запрещает запросы, соответствующие указанным параметрам.
Principals	Выберите, какие пользователи получат доступ к бакету: All accounts — все пользователи платформы Advanced. Аутентификация для пользователей не требуется. Примечание Не рекомендуется предоставлять этот доступ к бакету с конфиденциальными данными. Current account — доступ к бакету получают выбранные IAM-пользователи или аккаунты. Other accounts — доступ к бакету получают IAM-пользователи других аккаунтов. Для этого владельцу бакета нужно прописать их идентификаторы в поле в формате Account ID/IAM user. Получение User ID и Account ID
Resources	Выберите, к каким ресурсам применится политика: Entire bucket (including the objects in it) — к бакету и всем объектам в нем. При выборе этой настройки будут доступны изменения для бакета и его объектов в поле Actions. Current bucket — только к этому бакету. При выборе этой настройки будут доступны изменения для бакета в поле Actions. Specified objects — к выбранным объектам в бакете. При выборе этой настройки будут доступны изменения для объектов в поле Actions.
Actions	Выберите Customized и настройте действия. Use a template — примените шаблон. Customized — выберите действия согласно инструкции Actions.
Conditions (Опционально)	Введите дополнительные условия для политики: Key — выберите ключевое значение. Conditional Operator — из раскрывающегося списка, выберите условие применения оператора. Value — введите значение условия. Подробнее — в инструкции Conditions (en).
Advanced Settings > Exclude (Optional)	Specified principals — политика бакета применяется ко всем пользователям, кроме указанных. Specified resources — политика бакета применяется ко всем ресурсам, кроме указанных. Specified actions — политика бакета применяется ко всем действиям, кроме указанных.

Для сохранения настроек политики нажмите Create.

Просмотр политики доступа

В консоли управления Object Storage Service нажмите на название нужного бакета.
Слева выберите вкладку Permissions → Bucket Policies.

Отобразятся все созданные политики доступа.
Для просмотра детальной информации нажмите на в строке с политикой.

Отобразятся настройки политики доступа.

Изменение политики доступа

В консоли управления Object Storage Service нажмите на название нужного бакета.
Слева выберите вкладку Permissions → Bucket Policies.
В строке с нужной политикой доступа нажмите Edit.
Для сохранения изменений нажмите ОК.

Удаление политики доступа

В консоли управления Object Storage Service нажмите на название нужного бакета.
Слева выберите вкладку Permissions → Bucket Policies
В строке политикой доступа к удалению нажмите .
Нажмите OK.

Была ли статья полезной ?

Предыдущая статья

Управление политиками

Следующая статья

Политики доступа к объекту