配置BOS多用户访问控制

介绍

多用户访问控制,主要用于帮助用户管理云账户下资源的访问权限,适用于企业内的不同角色,可以对不同的工作人员赋予使用产品的不同权限,当您的企业存在多用户协同操作资源时,推荐您使用多用户访问控制。

适用于下列使用场景:

  • 中大型企业客户:对公司内多个员工授权管理;
  • 偏技术型vendor或SAAS的平台商:对代理客户进行资源和权限管理;
  • 中小开发者或小企业:添加项目成员或协作者,进行资源管理。

配置多用户访问控制包含创建用户、配置策略、用户授权及子用户登录共4个步骤。

创建用户

  1. 主账号用户登录后在控制台选择“多用户访问控制”进入用户管理页面。

  2. 在左侧导航栏点击“用户管理”,在“子用户管理列表”页,点击“新建用户”。

  3. 在弹出的“新建用户”对话框中,完成填写“用户名”和确认,返回“子用户管理列表”区可以查看到刚刚创建的子用户。

配置策略

BOS支持系统策略和用户自定义策略两种。

  • 系统策略:百度智能云系统为管理资源而预定义的权限集,这类策略可直接为子用户授权,用户只能使用而不能修改。
  • 自定义策略:由用户自己创建,更细化的管理资源的权限集,可以针对单个实例配置权限,更加灵活的满足账户对不同用户的差异化权限管理。

系统策略

系统策略包含BosFullAccess和BosListAndReadAccess两种,权限范围详细如下:

策略名称 权限说明 权限范围
BosFullAccess 管理百度智能云对象存储(BOS)的权限 管理权限包括READ、WRITE、LIST对应的API,还包含PutBucketACL, GetBucketACL, PutBucketCors, GetBucketCors, DeleteBucketCors, PutBucketLogging, GetBucketLogging, DeleteBucketLogging。
BosListAndReadAccess 只读访问百度智能云对象存储服务(BOS)的权限 权限包括ListObjects, ListMultipartUploads, GetBucketLocation, HeadBucket, GetObject, GetObjectMeta, ListParts接口。

自定义策略

子用户通过点击“创建策略”,填写策略名称并选择服务类型为(“自定义产品名”)添加自定义策略来进行自定义权限添加,自定义策略的添加有配置策略生成器和编辑策略文件两种方式,用户可以根据具体的权限设置修改策略内容。

  • 策略生成器:用户可以通过策略生成器选择特定的资源来添加自定义策略,点击完成后,创建的策略展示于自定义策略列表中。

  • 编辑策略文件:用户也可以通过编辑策略文件添加自定义策略,策略文件本质上是一个JSON文件,无论是系统策略还是用户自定义策略,最终都会映射成为一个ACL的JSON串。使用ACL策略配置文件,用户可以非常灵活的定义权限策略,但是需要用户理解ACL字符串的含义。编辑ACL权限策略的语法可参考文档策略语法。BOS策略文件的详细解释请参见自定义策略

    选择“自定义策略”并点击“创建策略”。填写策略名称并选择服务类型为“对象存储BOS”。

用户授权

在“用户管理->子用户管理列表页”的对应子用户的“操作”列选择“添加权限”,并为用户选择系统权限或自定义策略进行授权。

说明:如果在不修改已有策略规则的情况下修改某子用户的权限,只能通过删除已有的策略并添加新的策略来实现,不能取消勾选已经添加过的策略权限。

另外,子用户还需要经过Bucket Acl的鉴权,Bucket Acl鉴权是根据子用户所属的主用户的UserId去鉴权的。如果匹配到Bucket Acl规则时“effect“:”Deny”,且"id"字段匹配到“*“或者子用户所属主账户的UserId,那么鉴权将不会通过。

Bucket创建时,Bucket Acl会包含一条默认规则,表示Bucket Owner拥有FULL_CONTROL权限,如果用户自定义Bucket Acl时在某条规则中指定授权id包含Bucket Owner的UserId,则Bucket Acl中表示Bucket Owner拥有FULL_CONTROL权限的默认规则会被覆盖。

Bucket Acl设置参考Bucket权限控制

子用户登录

添加完子用户权限后,子用户可以使用以下两种方式使用BOS服务。

  • 点击子用户名可以查看IAM用户详细信息,包括AKSK及子用户的权限等。使用AKSK通过BOS的周边工具、SDK、API来使用BOS服务。
  • 将链接发送给子用户;子用户可以通过IAM用户登录链接登录主账号的管理控制台,根据被授权的策略对主账户资源进行操作和查看。

    image.png

主账号完成对子用户的授权后,可以

其他详细操作参考:多用户访问控制