IAM主子用户访问控制
所有文档

          对象存储 BOS

          IAM主子用户访问控制

          概述

          在您的百度云账号下面,通过 IAM 可以创建具有自己 AccessKey 的子用户。您的百度云账号被称为主账号,创建出来的账号被称为子用户,使用子用户的 AccessKey 只能使用主账号授权的操作和资源,BOS已经接入IAM子用户系统,通过控制台多用户访问控制创建IAM子用户,您可以实现:

          1. 同账号授权:您可以授权自己账号下的子用户去管理自己账号下的云资源(Bucket和Object)。
          2. 跨账号授权:您可以授权自己账号下的子用户去管理他人账号下的云资源(Bucket和Object)。

          应用场景

          • 企业子账号管理与分权

            企业A使用百度智能云账号购买了多种云资源(如BCC实例/RDS实例/BLB实例/BOS存储/...),A的员工需要操作这些云资源包括购买、运维、线上应用等。不同岗位员工的工作职责不一样,需要的权限也不一样。出于安全考虑,A不希望将主账号的密钥直接公布给员工,而希望能给不同岗位员工创建相应的用户子账号。用户子账号只能在授权的前提下操作资源,不需要进行独立的计量计费,所有资源费用都归属主账号。A主账号随时可以撤销子账号的权限,也可以随时删除其创建的子账号。

          • 企业之间的资源操作与授权管理

            A和B代表不同的企业。A购买了多种云资源(如BCC实例/RDS实例/BLB实例/BOS存储/...)来开展业务。A希望能专注于业务系统,而将云资源运维监控管理等任务委托或授权给企业B。企业B也可以进一步将代运维任务分配给B的员工,即B为其员工创建相应的用户子账号供其使用。B可以精细控制其员工对A的云资源操作权限。如果A和B的这种代运维合同终止,A随时可以撤销对B的授权。

          策略文件说明

          IAM主用户授权给子用户通过关联策略实现,策略文件本质上是一个JSON文件,文件中permission和resource用来定义权限和资源。策略文件对应的空白模版如下:

          {
              "accessControlList": [
                  {
                      "service": "bce:bos",
                      "region": "*",
                      "effect": "Allow",
                      "permission": [],
                      "resource": [],
                  }
              ]
          }

          策略文件中各字段的含义如下:

          字段 数据类型 说明 是否必须 父节点
          accessControlList list 标识acl主体的开始,由一或多组acl配置项组成,其中acl配置项由service+region+effect+permission+resource组合而成。
          +service string acl配置项影响的服务组件。 accessControlList
          +region string acl配置项影响的区域,取值范围为bjgz。其中bj代表北京region,gz代表广州region,代表示所有区域。 accessControlList
          +effect string 指定与该条acl配置项匹配的Request能否执行,取值为Allow或Deny。Allow表示可以执行Deny表示拒绝执行。 accessControlList
          +permission list ACL配置项所影响的权限,取值范围为READ、LIST、WRITE、FULL_CONTROL和ListBuckets,不支持配置通配符*。每个permission的具体含义见下表。 accessControlList
          +resource list ACL配置项所影响的资源,支持通配符。如:*,<BucketName>, <BucketName>/<Prefix>; *,<BucketName>/<ObjectKey>。IAM在校验请求时,对resource字段是做严格字符串匹配,因此若该字段被配置为"abc",则表明该条规则仅对名为“abc”的bucket相关的bucket级别操作生效,而对object级别操作不生效。比如说请求API为操作bucket ”abc“下所属某object(如”obj01“),则BOS传给IAM的资源字段为“abc/obj01”,与策略文件中所配置resource("abc")会匹配不上,该条规则不生效。 accessControlList

          每种permission所对应的BOS API如下:

          permission 对应的BOS API
          ListBuckets GetService(ListBuckets)
          READ GetBucketLocation, HeadBucket, GetObject, GetObjectMeta, ListParts
          LIST ListObjects, ListMultipartUploads
          WRITE PutObject, InitiateMultipartUpload, UploadPart, CompleteMultipartUpload, AbortMultipartUpload, DeleteObject, DeleteMultipleObjects, AppendObject, PostObject
          FULL_CONTROL READ、WRITE、LIST对应的API, 还包含PutBucketACL, GetBucketACL, PutBucketCors, GetBucketCors, DeleteBucketCors, PutBucketLogging, GetBucketLogging, DeleteBucketLogging

          系统策略配置说明

          为了方便用户使用,百度智能云内置了两个常用策略作为系统策略:BosFullAccess和BosListAndReadAccess。

          • BosFullAccess:管理百度智能云对象存储服务(BOS)的权限。
          • BosListAndReadAccess:只读访问百度智能云对象存储服务(BOS)的权限。

          说明:

          • 系统策略无法修改且不能删除。

          在“策略管理”页面点击策略名称对应操作列的“查看”按钮,可以查看两个系统策略对应的JSON文件。

          自定义策略配置说明

          如果您需要定制更精细的权限控制,可以创建一个自定义策略。自定义策略即用户通过策略文件定义子账号的资源和权限,通过自定义策略用户可以更精准的控制权限和资源。策略本质上为JSON文件,您可以参考策略文件说明,也可以参考以下典型场景示例。示例中假设bucket名为mybucket。

          授权子用户某个Bucket的完全管理权限(使用控制台管理)

          {
              "accessControlList": [
                  {
                      "service": "bce:bos",
                      "region": "*",
                      "effect": "Allow",
                      "permission": [
                          "FULL_CONTROL"
                      ],
                      "resource": [
                          "mybucket",
                          "mybucket/*"
                      ]
                  },
                  {
                      "service": "bce:bos",
                      "region": "*",
                      "effect": "Allow",
                      "permission": [
                          "ListBuckets"
                      ],
                      "resource": [
                          "*"
                      ]
                  }
              ]
          }

          注意:

          • resource字段需要同时写mybucket和mybucket/*。
          • 如果您希望通过控制台管理某个bucket,那还需要有ListBuckets的权限,不然Bucket列表是打不开的。
          • 子用户支持实现跨账号资源授权。比如这里的mybucket可以是其他账号下的资源。假设这里有两个账号,账号A下有mybucket,账号B下有个子用户。账号A可以首先通过更新Bucket权限来把mybucket授权给账号B来使用。然后账号B可以创建一个自定义策略来进一步把管理mybucket的权限授予子用户。

          授权子用户某个Bucket的完全管理权限(不使用控制台管理和BOS桌面)

          {
              "accessControlList": [
                  {
                      "service": "bce:bos",
                      "region": "*",
                      "effect": "Allow",
                      "permission": [
                          "FULL_CONTROL"
                      ],
                      "resource": [
                          "mybucket",
                          "mybucket/*"
                      ]
                  }
              ]
          }

          注意:

          • resource字段需要同时写mybucket和mybucket/*。
          • 如果不通过控制台来管理bucket,则无需开放ListBuckets权限。您可以直接通过BOS周边工具、SDK来使用BOS服务。

          授权子用户对某个prefix(目录)的只读权限

          假设某bucket用于存放照片,照片按照拍摄地点存放,每个拍摄地点下有年份子目录。现在需要授予子用户读取mybucket/shanghai/2013/目录的只读权限。目录结构如下:

          mybucket //bucket
          	|-- beijing
          	|	|--2010
          	|	|--2011
          	|-- shanghai
          	|	|--2012
          	|	|--2013 //授予此目录的只读权限
          	|--shenzhen
          		|--2014
          		|--2015

          假设子用户已经知道所有文件的路径,不需要列出文件的权限:

          {
              "accessControlList": [
                  {
                      "service": "bce:bos",
                      "region": "*",
                      "effect": "Allow",
                      "permission": [
                          "READ"
                      ],
                      "resource": [
                          "mybucket/shanghai/2013/*"
                      ]
                  }
              ]
          }
          上一篇
          Object权限控制
          下一篇
          数据容灾