写点什么

对象存储手把手教七 | 存储空间授权策略 Bucket Policy

  • 2021 年 12 月 01 日
  • 本文字数:3006 字

    阅读完需:约 10 分钟

对象存储手把手教七 | 存储空间授权策略 Bucket Policy

作者:池桂梅, QingStor 存储产品文档工程师。主要负责 QingStor 存储线的相关产品的文档工作。


在第五期的文章中,我们曾以“乔巴的大包”为例,讲述了 QingStor 对象存储中关于数据存取及加密相关的知识。今天,作者将继续用“乔巴的大包”来为大家解读存储空间的授权问题。


往期回顾:对象存储手把手教五 | 数据存储与加密

一 故事背景

随着航海征程的推进,战斗随时打响,这就意味着伤亡随时随地都会出现。而作为医生的乔巴,救死扶伤,是在所难免的。可是,根据战斗的规模,比如一两个伤亡,乔巴可以应付,伤亡惨重的场景里,乔巴也只能急的嗷嗷大叫啊。这个时候,给乔巴配备助手,也是迫在眉睫啊。


草帽海贼团招收队友的标准,大家是知道的,一时半会儿,上哪儿去找助手配给乔巴呢?“其实,我只需要一个人能按照我的要求,领用我背包里面的物品就可以了”,乔巴如是说。


针对乔巴的需求,QingStor 对象存储这次又能提供怎样的解决方案呢?

二 什么是 Policy

QingStor 对象存储提供 Bucket Policy 用于向其他青云 QingCloud 用户赋予相应存储空间及其对象的访问权限。


也就是说,通过该功能,乔巴可以给路飞,或者娜美等草帽海贼团的成员分配权限,使得他们可以访问乔巴存储于 QingStor 对象存储空间的背包。但是鉴于该背包内物品的重要性的不同,乔巴需要指明哪些物品是可以随便拿,哪些物品是只能看看,哪些物品是看都不能看的。


QingStor 对象存储的 Policy 功能,完美的解决了乔巴的难题。那具体是怎么做的呢?下面我们将详细说明。

三 如何使用 Policy

3.1 Console

为方便操作,QingStor 对象存储提供了友好的界面应用程序,供乔巴来设置其存储空间的 Policy。详细步骤如下:


步骤 1: 进入 QingCloud 的主页面,点击“产品服务 -> 存储服务 -> 对象存储”:



步骤 2: 进入 QingStor 对象存储空间列表页面,点击待操作的存储空间:



步骤 3: 进入存储空间详细页面后,点击“设置 -> 存储空间策略 -> 添加规则”:



步骤 4: 进入策略设置页面,根据提示信息,填写相关参数,点击保存即可:



通过设置 “响应动作” ,“用户” 以及 “操作”,乔巴可以给指定的队友赋予可执行或不可执行某项动作的权限。通过设置 “Referer” 来指定该权限适用的具体物品。


如乔巴需要给娜美赋予可以获取整个背包内的物品的权限,设置后的规则如下:



由于路飞比较粗心,乔巴要拒绝路飞获取背包内的物品,设置后的规则如下:


3.2 API

QingStor 对象存储也提供 API,供乔巴来设置其存储空间的 Policy。

3.2.1 GET Bucket Policy

若乔巴想查看当前存储空间已经设置的存储空间 Policy,可以使用 GET Bucket Policy,无需携带多余的信息。但是被赋予该存储空间访问权限的娜美,就不能使用该 API 来获取乔巴已经设置的存储空间 Policy 了。


从存储空间安全的角度考虑,QingStor 对象存储仅允许存储空间的所有者调用该 API。


具体可以这样做:


请求示例:


GET /?policy HTTP/1.1Host: mybucket.pek3a.qingstor.comDate: Sun, 16 Aug 2015 09:05:00 GMTAuthorization: authorization string
复制代码


响应示例:


HTTP/1.1 200 OKServer: QingStorDate: Sun, 16 Aug 2015 09:05:02 GMTContent-Length: 300Connection: closex-qs-request-id: aa08cf7a43f611e5886952542e6ce14b{    "statement": [        {            "id": "allow everyone to get and create objects",            "user": "*",            "action": ["get_object", "create_object"],            "effect": "allow",            "resource": ["mybucket/*"],            "condition":{                "string_like": {                    "Referer": ["*.example1.com", "*.example2.com"]                }            }        },        {            "id": "allow everyone to head bucket",            "user": "*",            "action": "head_bucket",            "effect": "allow",            "condition":{                "string_like": {                    "Referer": ["*.example3.com", "*.example4.com"]                },                "string_not_like": {                    "Referer": ["*.service.example3.com"]                }            }         }    ]}
复制代码

3.2.2 PUT Bucket Policy

若当前存储空间没有设置相应的 Policy,或已经设置的 Policy 满足不了乔巴的需求,这个时候,乔巴可以使用 PUT Bucket Policy 来设置新的存储空间策略。但是,被赋予该存储空间访问权限的娜美,就不能使用该 API 来设置乔巴的存储空间 Policy 了。


使用该 API 时,消息体需携带详细的 Policy 参数,用以设置 Policy。参数列表如下:



具体可以这样做:


请求示例:


PUT /?policy HTTP/1.1Host: mybucket.pek3a.qingstor.comDate: Sun, 16 Aug 2015 09:05:00 GMTContent-Length: 300Authorization: authorization string{    "statement": [        {            "id": "allow certain site to get objects",            "user": "*",            "action": ["get_object"],            "effect": "allow",            "resource": ["mybucket/*"],            "condition": {                "string_like": {                    "Referer": [                        "*.example1.com",                        "*.example2.com"                    ]                }            }        },        {            "id": "allow user-henry to list objects and create objects",            "user": "user-henry",            "action": ["list_objects", "create_object"],            "resource": ["mybucket/*"],            "effect": "allow"        }    ]}
复制代码


响应示例:


HTTP/1.1 200 OKServer: QingStorDate: Sun, 16 Aug 2015 09:05:02 GMTContent-Length: 0Connection: closex-qs-request-id: aa08cf7a43f611e5886952542e6ce14b
复制代码

3.2.3 DELETE Bucket Policy

若当前存储空间已经设置的 Policy 满足不了乔巴的需求,这个时候,乔巴可以使用 DELETE Bucket Policy 来删除已有的存储空间策略。但是,被赋予该存储空间访问权限的娜美,就不能使用该 API 来删除乔巴的存储空间 Policy 了。


乔巴删除自己的存储空间策略,无需携带额外的信息。具体可以这样做:


请求示例:


DELETE /?policy HTTP/1.1Host: mybucket.pek3a.qingstor.comDate: Sun, 16 Aug 2015 09:05:00 GMTAuthorization: authorization string
复制代码


响应示例:


HTTP/1.1 204 NoContentServer: QingStorDate: Sun, 16 Aug 2015 09:05:02 GMTContent-Length: 0Connection: closex-qs-request-id: aa08cf7a43f611e5886952542e6ce14b
复制代码

四 结尾

乔巴使用这个功能,详细的设置了各位队友的权限,比如路飞不能访问背包;比如佐隆可以从背包里获取消炎药,治疗刀伤砍伤的药;比如乔治可以从背包里获取治疗烫伤的药等等。


通过 QingStor 对象存储的 Policy 功能,详细而又完善的设置了各位队友操作这个背包的权限。使得在紧急时刻,各位队友都能方便的拿到自己可以拿到的物品,以协助乔巴来救治伤员。


QingStor 对象存储在这里提醒各位,只有存储空间的所有者,才能使用该项功能哦!


更多文章

存储大师班

对象存储手把手教五 | 数据存取与加密

gg: 像写 Golang 一样生成代码

QingStor 招聘存储测试/运维/研发工程师

发布于: 2 小时前阅读数: 5
用户头像

拥抱云原生存储 2021.06.29 加入

公众号:QingStor 分布式存储。 提供云原生时代的全栈存储知识与服务,驱动数据引领业务创新!

评论

发布
暂无评论
对象存储手把手教七 | 存储空间授权策略 Bucket Policy