6.1 部门公共数据权限管理
企业日常有大量工作文件需要存档,但并不希望花费大量的人力、物力在存储资源 上。因此该企业开通了OBS,用于存储日常工作文件,并希望为不同职能部门的员工 设置不同的访问权限,以此达到不同部门人员访问公司数据的权限隔离。
对于存储在OBS中的部门公共数据,企业希望管理员用户拥有完全控制权限,普通用 户仅拥有只读权限,可以在OBS执行基本的数据读取操作,其逻辑关系如图6-1所示。
图6-1 逻辑关系
方案及流程
在此场景下可以通过简单的IAM权限方式进行授权。将普通用户所在用户组权限设置 为“Tenant Guest”,即可使普通用户以访客角色访问OBS,对OBS仅拥有只读权 限。操作流程如图6-2所示。
图6-2 部门公共数据权限管理流程
详细配置步骤
步骤1 创建管理员用户
1. 使用企业帐号登录华为云控制台首页。
2. 在控制台首页选择“服务列表 > 管理与监管 > 统一身份认证服务(IAM)”,进 入IAM控制台。
3. 在IAM控制台,单击左侧导航栏中的“用户”。
4. 单击“创建用户”,在“创建用户”界面,输入“用户名”并配置以下参数:
– 凭证类型:选择“密码”。
– 所属用户组:选择“admin”用户组。
5. 单击“下一步”,选择“密码生成方式”为“自定义”。
6. 输入“邮箱”、“手机”、“密码”和“确认密码”。
7. 单击“确定”,完成创建管理员用户。
步骤2 创建具有只读权限的用户组
1. 在IAM控制台,单击左侧导航栏中的“用户组”。
权限配置指南 6 企业数据权限控制最佳实践
2. 单击“创建用户组”,输入“用户组名称”及“描述”。
3. 单击“确定”。
返回用户组列表,用户组列表中将显示新创建的用户组。
4. 单击新创建用户组“操作”列的“权限配置”。
5. 单击“授权”。
6. 选择“全局服务”。在“拥有以下权限”的策略列表中,选择“Tenant Guest”
策略。
权限授予成功后,普通用户可以通过OBS控制台、OBS Browser+以及API&SDK等多种 方式验证。此处以在OBS控制台上的操作为例,介绍如何验证普通用户对部门公共数 据的只读权限。
1. 使用普通用户登录OBS控制台,查看是否有权限访问OBS页面。
– 若显示“没有该页面的访问权限”类似提示,表示当前用户无桶内数据的读
图6-3 逻辑关系
方案及流程
在此场景下A部门的管理员可以通过桶策略配置允许下载和禁止写删共享数据的权限给 B部门的用户,具体配置流程如图6-4所示。
权限配置指南 6 企业数据权限控制最佳实践
图6-4 共享数据权限控制流程
前提条件
A部门和B部门的管理员用户以及普通用户已由帐号在IAM中创建。如何创建IAM用户 请参见创建IAM用户。
说明
在创建管理员用户时,A部门的管理员由于要执行创建桶、配置桶策略等操作,因此需要管理员 所属用户组至少拥有对象存储服务的“OBS Administrator”策略。
详细配置步骤
步骤1 创建桶
1. 使用部门A的管理员用户登录华为云控制台首页。
2. 在控制台首页选择“所有服务 > 存储 > 对象存储服务”,进入OBS控制台。
3. 在OBS控制台,单击页面右上角的“创建桶”按钮。
4. 根据页面提示,选择“区域”、“存储类别”及“桶策略”,并输入“桶名
Administrator”、“OBS Administrator”或“OBS OperateAccess”,请略过此步 骤,直接执行步骤3。若没有配置对象存储服务策略或策略配置为“OBS Buckets Viewer”、“Tenant Guest”或“OBS ReadOnlyAccess”,部门A的管理员则需要先 执行以下步骤,为本部门的用户配置允许上传共享数据的权限。
动作 – 选择动作:ListBucket和PutObject – 操作策略:包含以上动作
6. 单击右下角的“配置确认”。
7. 单击右下角的“创建”,完成桶策略创建。
步骤3 配置允许下载权限
若部门B用户所属用户组的权限中,对象存储服务的策略为“Tenant Administrator”、“Tenant Guest”、“OBS Administrator”或“OBS
OperateAccess”,请略过此步骤, 直接执行步骤4。若没有配置对象存储服务策略或 策略配置为“OBS Buckets Viewer”或“OBS ReadOnlyAccess”,部门A的管理员则 需要先执行以下步骤,为部门B的用户配置允许下载共享数据的权限。
权限配置指南 6 企业数据权限控制最佳实践
1. 在OBS控制台,单击存放共享数据的桶名称,进入桶概览页面。
动作 – 选择动作:ListBucket、GetObject和 GetObjectVersion
参数 说明
▪
PutObject▪
PutObjectAcl▪
PutObjectVersionAcl▪
DeleteObject▪
DeleteObjectVersion▪
AbortMultipartUpload – 操作策略:包含以上动作6. 单击右下角的“配置确认”。
7. 单击右下角的“创建”,完成桶策略创建。
步骤5 上传数据
A部门用户可以通过OBS控制台、OBS Browser+以及API&SDK等上传数据。此处以在 OBS控制台上的操作为例,介绍如何上传数据。
权限授予成功后,部门B的用户可以通过OBS控制台、OBS Browser+以及API&SDK等 多种方式验证。此处以在OBS控制台上的操作为例,介绍如何验证B部门用户对共享数 据的只读权限。
1. 使用部门B的IAM用户登录OBS控制台。
2. 在OBS桶列表页面,单击待操作桶的桶名称。
3. 在左侧导航栏单击“对象”,进入对象列表页面。
4. 单击任一公共数据所在行的“下载”。
– 下载失败,表示下载权限配置失败,请检查用户组权限配置是否正确。
– 下载成功,表示下载权限配置成功,请执行下一步骤。
5. 单击“上传对象”,选择文件后单击“上传”。
– 上传成功,表示写删权限配置失败,请检查桶策略配置是否正确。
– 上传失败,表示写删权限配置成功,执行下一步骤。
6. 单击任一公共数据所在行的“删除”。
– 删除成功,表示写删权限配置失败,请检查桶策略配置是否正确。
– 删除失败,表示写删权限配置成功。
----结束
6.3 给业务部门授予独立的资源权限
通常一个企业可能会分设多个业务部门,各业务部门之间的数据需要独立管理。在此 场景下,可以考虑给各业务部门分配各自所需的IAM用户,通过桶策略给每个业务部 门下的IAM用户授予独立的资源权限。
场景假设
假设某企业下有A和B两个不同的业务部门,希望各业务部门的数据存放在自己的桶 中,且各业务部门的用户分别拥有本部门桶的上传权限。
在本场景下两个部门的管理员、用户与桶之间的逻辑关系如图6-5所示。
图6-5 逻辑关系
说明
本例中仅为部门用户配置上传权限,您可根据实际业务需求配置其他的权限。关于桶策略的权限 说明,请参见桶策略。
方案及流程
A、B两部门的管理员可以通过桶策略配置仅自己部门的用户拥有部门桶的上传权限,
具体配置流程如图6-6所示。
图6-6 权限控制流程
权限配置指南 6 企业数据权限控制最佳实践
前提条件
等操作,需要能够列举帐号下的所有桶,因此一般将部门用户加入具有“OBS Buckets Viewer”权限的用户组。有关权限的详细介绍请参见用户权限。1. 创建部门管理员和部门用户对应的IAM用户。如何创建请参见创建IAM用户。
2. 将部门管理员加入“admin”用户组,并将部门用户加入具有“OBS Buckets Viewer”权限的用户组。如何加入用户组并授权请参见给IAM用户授权。
表6-4 授予访问桶和上传对象的权限参数配置
动作 – 选择动作:ListBucket和PutObject – 操作策略:包含以上动作
8. 单击右下角的“配置确认”。
9. 单击右下角的“创建”,完成桶策略创建。
步骤4 验证权限。
权限授予成功后,部门A、B的用户可以通过OBS控制台、OBS Browser+以及API&SDK 等多种方式验证上传权限。
部门管理员权限控制说明
按照上述方法配置后,所有部门管理员会拥有其他部门桶资源的全部权限。如果要拒 绝其他部门管理员访问本部门的桶资源,请按照下述步骤配置桶策略。
步骤1 使用本部门管理员用户登录控制台首页。
步骤2 在控制台首页选择“所有服务 > 存储 > 对象存储服务”,进入OBS控制台。
步骤3 在OBS控制台左侧导航栏选择“桶列表”,在桶列表单击本部门的桶名称,进入桶概 览页面。
步骤4 在左侧导航栏单击“访问权限控制 > 桶策略”。
步骤5 单击“创建”。
步骤6 在桶策略模板第一行,单击右侧的“自定义创建”。
步骤7 配置如下参数,拒绝其他部门管理员访问本部门的桶。
表6-5 拒绝其他部门管理员访问本部门的桶
参数 说明
策略配置方式 可视化视图
策略名称 自定义
策略内容 效果 拒绝
被授权用户 ● 授权用户:当前帐号
● 子用户:选择其他部门管理员
● 用户策略:包含以上用户
资源 ● 资源范围:同时选择当前桶和桶内对象,桶内对 象选择“所有对象”
● 资源策略:包含以上资源 动作 ● 选择动作:*(表示所有动作)
● 操作策略:包含以上动作
步骤8 单击右下角的“配置确认”。
步骤9 单击右下角的“创建”,完成桶策略创建。
----结束