存储空间权限分离

最近更新时间:2019-01-14 10:10:54

如果客户有两个部门,分别为研发部门和运维部门,客户在KS3已经创建了两个存储空间,rd_bucket和op_bucket,分别存放研发数据和运维数据,要求研发部门只能访问rd_bucket,运维部门只能访问op_bucket。 这时就需要创建两个子用户rd_user和op_user,分别授予rd_bucket和op_bucket的权限。具体的操作步骤如下:

1,在控制台上操作请点击进入【身份与管理】->【用户管理】,进入用户管理界面,创建rd_user和op_user,并生成对应的AKSK。

2,在控制台上操作请点击进入【身份与管理】->【策略管理】,进入策略管理界面。

3,由于系统权限没有按照bucket粒度的权限,点击“自定义策略”标签页,“新建”按钮策略按钮,选择“按策略语法创建”,选择“KS3FullAccess”模板,输入策略名称“rdfullaccess”,修改策略语言如下:

{
    "Version": "2015-11-01",
    "Statement": [
    {
        "Effect": "Allow",
        "Action": "ks3:ListBuckets",
        "Resource": "*"
    },   
    {
        "Effect": "Allow",
        "Action": "ks3:*",
        "Resource":[
            "krn:ksc:ks3:::rd_bucket",
            "krn:ksc:ks3:::rd_bucket/*"
        ]
     }
   ]
}

4,同样,创建新策略“opfullaccess”

{
    "Version": "2015-11-01",
    "Statement": [
    {
        "Effect": "Allow",
        "Action": "ks3:ListBuckets",
        "Resource": "*"
    },   
    {
        "Effect": "Allow",
        "Action": "ks3:*",
        "Resource":[
            "krn:ksc:ks3:::op_bucket",
            "krn:ksc:ks3:::op_bucket/*"
        ]
     }
   ]
}

5,返回用户管理界面,给rd_user和op_user分别赋予rdfullaccess和opfullaccess策略。

金山云,开启您的云计算之旅

注册有礼