全部文档
当前文档

暂无内容

如果没有找到您期望的内容,请尝试其他搜索词

文档中心

存储空间权限分离

最近更新时间:2021-05-21 14:55:03

如果客户有两个部门,分别为研发部门和运维部门,客户在KS3已经创建了两个存储空间,rd_bucket和op_bucket,分别存放研发数据和运维数据,要求研发部门只能访问rd_bucket,运维部门只能访问op_bucket。
这时就需要创建两个子用户rd_user和op_user,分别授予rd_bucket和op_bucket的权限。具体的操作步骤如下:

  1. 进入控制台,点击左侧导航栏下方的访问控制,再点击左侧导航栏的人员管理>子用户 ,进入子用户界面,创建rd_user和op_user,并生成对应的AKSK。

  2. 进入控制台,点击左侧导航栏下方的访问控制,再点击左侧导航栏的权限管理>策略 ,进入策略管理界面。

  3. 由于系统权限没有按照bucket粒度的权限,点击 自定义策略 标签页,点击新建策略 按钮,在设置策略类型中选择策略语法 ,在选择策略模板中选择复制系统模板,选择KS3FullAccess 模板,输入策略名称“rdfullaccess”,修改策略语言如下:

{
    "Version": "2015-11-01",
    "Statement": [
    {
        "Effect": "Allow",
        "Action": "ks3:ListBuckets",
        "Resource": "*"
    },   
    {
        "Effect": "Allow",
        "Action": "ks3:*",
        "Resource":[
            "krn:ksc:ks3:::rd_bucket",
            "krn:ksc:ks3:::rd_bucket/*"
        ]
     }
   ]
}
  1. 同样,创建新策略“opfullaccess”。
{
    "Version": "2015-11-01",
    "Statement": [
    {
        "Effect": "Allow",
        "Action": "ks3:ListBuckets",
        "Resource": "*"
    },   
    {
        "Effect": "Allow",
        "Action": "ks3:*",
        "Resource":[
            "krn:ksc:ks3:::op_bucket",
            "krn:ksc:ks3:::op_bucket/*"
        ]
     }
   ]
}
  1. 返回用户管理界面,给rd_user和op_user分别赋予rdfullaccess和opfullaccess策略。
文档导读
纯净模式常规模式

纯净模式

点击可全屏预览文档内容
文档反馈