存储空间权限分离

最近更新时间:2021-05-21 14:55:03

查看PDF

如果客户有两个部门,分别为研发部门和运维部门,客户在KS3已经创建了两个存储空间,rd_bucket和op_bucket,分别存放研发数据和运维数据,要求研发部门只能访问rd_bucket,运维部门只能访问op_bucket。
这时就需要创建两个子用户rd_user和op_user,分别授予rd_bucket和op_bucket的权限。具体的操作步骤如下:

  1. 进入控制台,点击左侧导航栏下方的访问控制,再点击左侧导航栏的人员管理>子用户 ,进入子用户界面,创建rd_user和op_user,并生成对应的AKSK。

  2. 进入控制台,点击左侧导航栏下方的访问控制,再点击左侧导航栏的权限管理>策略 ,进入策略管理界面。

  3. 由于系统权限没有按照bucket粒度的权限,点击 自定义策略 标签页,点击新建策略 按钮,在设置策略类型中选择策略语法 ,在选择策略模板中选择复制系统模板,选择KS3FullAccess 模板,输入策略名称“rdfullaccess”,修改策略语言如下:

{
    "Version": "2015-11-01",
    "Statement": [
    {
        "Effect": "Allow",
        "Action": "ks3:ListBuckets",
        "Resource": "*"
    },   
    {
        "Effect": "Allow",
        "Action": "ks3:*",
        "Resource":[
            "krn:ksc:ks3:::rd_bucket",
            "krn:ksc:ks3:::rd_bucket/*"
        ]
     }
   ]
}
  1. 同样,创建新策略“opfullaccess”。
{
    "Version": "2015-11-01",
    "Statement": [
    {
        "Effect": "Allow",
        "Action": "ks3:ListBuckets",
        "Resource": "*"
    },   
    {
        "Effect": "Allow",
        "Action": "ks3:*",
        "Resource":[
            "krn:ksc:ks3:::op_bucket",
            "krn:ksc:ks3:::op_bucket/*"
        ]
     }
   ]
}
  1. 返回用户管理界面,给rd_user和op_user分别赋予rdfullaccess和opfullaccess策略。

文档内容是否对您有帮助?

根本没帮助
文档较差
文档一般
文档不错
文档很好

在文档使用中是否遇到以下问题

内容不全,不深入
内容更新不及时
描述不清晰,比较混乱
系统或功能太复杂,缺乏足够的引导
内容冗长

更多建议

0/200

评价建议不能为空

提交成功!

非常感谢您的反馈,我们会继续努力做到更好!

问题反馈