通过IAM,您可以在云帐号中创建IAM用户,并使用策略来控制IAM用户对云资源的访问范围。
IAM策略是作用于云资源的,IAM策略定义了允许和拒绝的访问操作,以此实现云资源权限访问控制。
对于OBS,IAM策略的OBS权限是作用于OBS所有的桶和对象的。如果要授予IAM用户操作OBS资源的权限,则需要向用户所属的用户组授予一个或多个OBS权限集。
IAM策略应用场景
IAM策略主要面向对同帐号下IAM用户授权的场景:
- 使用策略控制帐号下整个云资源的权限时,使用IAM策略授权。
- 使用策略控制帐号下OBS所有的桶和对象的权限时,使用IAM策略授权。
策略结构&语法
策略结构包括:Version(策略版本号)和Statement(策略权限语句),其中Statement可以有多个,表示不同的授权项。
参数 说明 Version 标识策略的版本号:
1.0:RBAC策略。RBAC策略是将服务作为一个整体进行授权,授权后,用户可以拥有这个服务的所有权限。Statement 策略授权语句,描述策略的详细信息,包含Effect(作用)和Action(授权项)。
Effect(作用)
作用包含两种:Allow(允许)和Deny(拒绝),系统预置策略仅包含允许的授权语句。
Action(授权项)
对资源的具体操作权限,支持单个或多个操作权限,支持通配符号*,通配符号表示所有。
Resource(资源)
策略所作用的资源,格式为:服务名:region:domainId:资源类型:资源路径,支持通配符号*,通配符号表示所有。在JSON视图中,不带Resource表示对所有资源生效。
Resource支持以下字符:-_0-9a-zA-Z*./\,如果Resource中包含不支持的字符,请采用通配符号*。
OBS是全局级服务,region填“*”;domainId表示资源拥有者的帐号ID,建议填写“*”简单地表示所填资源的帐号ID。
示例:
− "obs:*:*:bucket:*": 表示所有的OBS桶。
− "obs:*:*:object:my-bucket/my-object/*": 表示桶my-bucket中“my-object”目录下的所有对象。
Condition(条件)
使策略生效的特定条件,可选。格式为:条件运算符: {条件名:[条件值1, 条件值2]}
条件包含全局条件名和云服务条件名,OBS支持的条件名与桶策略中的Condition一致,在IAM配置时,需要加上“obs:”。详细的Condition介绍如条件所示。
Condition的条件值仅支持以下字符:-,./ a-zA-Z0-9@#$%&,如果条件值中包含不支持的字符,请考虑使用模糊匹配的条件运算符,如:StringLike,StringStartWith等。
示例:
− "StringEndWithIfExists":{"g:UserName":["specialCharacter"]}:表示当用户输入的用户名以"specialCharacter"结尾时该条statement生效。
"StringLike":{"obs:prefix":["private/"]}:表示在列举桶内对象时,需要指定prefix为private/或者包含private/这一子字符串。
IAM策略鉴权
IAM策略遵循Deny优先的原则。在用户访问资源时,权限检查逻辑如下:
说明每条策略做评估时,Action之间是“或(or)”的关系。
- 用户访问系统,发起操作请求。
- 系统评估用户被授予的访问策略,鉴权开始。
- 在用户被授予的访问策略中,系统将优先寻找显式拒绝指令。如找到一个适用的显式拒绝,系统将返回Deny决定。
- 如果没有找到显式拒绝指令,系统将寻找适用于请求的任何Allow指令。如果找到一个显式允许指令,系统将返回Allow决定。
- 如果找不到显式允许,最终决定为Deny,鉴权结束。
