配置双端固定实现vpc粒度的访问控制-九游平台
操作场景
使用“双端固定”特性,即同时设置vpc终端节点策略与桶策略,可以对obs的资源提供vpc粒度的权限控制。
一方面,设置vpc终端节点策略可以限制vpc中的服务器(ecs/cce/bms)访问obs中的特定资源;另一方面,设置桶策略可以限定obs中的桶被特定vpc中的服务器访问,从而在请求来源和被访问资源两个角度保障了安全性。
双端固定支持的区域请参见功能总览。
背景信息
vpc终端节点访问控制遵循最小权限原则,如果终端节点策略没有显式“allow(允许)”,则默认“deny(拒绝)”。在购买vpc终端节点时,系统将会为该终端节点生成一个默认策略,该策略允许对obs的完全访问,您可以在创建vpc终端节点时修改默认策略,还可以在创建完成后,根据需要随时调整vpc终端节点策略。vpc终端节点策略的设置规则参见iam策略中的statement标签。
- vpc终端节点策略与iam权限存在部分差异:vpc终端节点策略中不含“condition”标签。
- obs双端固定的终端节点服务名称:
- “拉美-圣保罗一”和“拉美-圣地亚哥”区域可选择格式为“com.myhuaweicloud.xxx.obs”的终端节点服务。
- 其余地区endpoint请咨询九游平台的技术支持。
注意事项
vpc终端节点策略,配置后需等待10分钟才可生效,请耐心等待。
操作步骤
以下提供四种配置双端固定的示例。
配置示例三:同时配置vpc终端节点策略与桶策略
场景描述:
只允许vpc1内的服务器上传/下载桶mybucket中的对象,并且只允许桶mybucket中的对象被vpc1内的服务器上传/下载。
其中vpc1的id为:4dad1f75-0361-4aa4-ac75-1ffdda3a0fec。
配置方法:
- 配置vpc1的终端节点策略如下:
入口:服务列表 > vpc终端节点 > 单击对应vpc终端节点id(obs双端固定的终端节点) > 策略 > 编辑
[ { "action": [ "obs:object:getobject", "obs:object:putobject" ], "resource": [ "obs:*:*:object:mybucket/*" ], "effect": "allow" } ] - 配置桶mybucket的桶策略如下:
配置方法请参见自定义创建桶策略(json视图)。
需要配置两个桶策略:
- 桶策略1:允许vpc1内的服务器上传/下载桶mybucket中的对象。
其中statementid可自定义,domainid和userid需要设置为允许上传下载的账号id和用户id。相关说明请参见桶策略。
{ "statement": [ { "sid": "statementid", "effect": "allow", "principal": { "id": ["domain/domainid:user/userid"] }, "action": ["getobject", "putobject"], "resource": ["mybucket/*"], "condition": { "stringequals": { "sourcevpc": ["4dad1f75-0361-4aa4-ac75-1ffdda3a0fec"] } } } ] } - 桶策略2:除了vpc1外的其他vpc内的服务器均不能操作桶mybucket及桶中的对象。
其中denyreqnotfromvpc可自定义。
{ "statement": [ { "sid": "denyreqnotfromvpc", "effect": "deny", "principal": { "id": ["*"] }, "action": "*", "resource": ["mybucket", "mybucket/*"], "condition": { "stringnotequals": { "sourcevpc": ["4dad1f75-0361-4aa4-ac75-1ffdda3a0fec"] } } } ] }
设置上述桶策略后,被授权的iam用户可以正常通过sdk或api进行上传下载操作。如果希望在控制台或obs browser 上进行上传下载,还需要在iam权限中额外配置obs:bucket:listallmybuckets和obs:bucket:listbucket权限,否则登录控制台和obs browser 时会报错,无法看到桶和桶内对象。
- 桶策略1:允许vpc1内的服务器上传/下载桶mybucket中的对象。
相关文档
意见反馈
文档内容是否对您有帮助?
如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨
