企業不同部門或專案之間需要共用資料,本部門允許其他部門的使用者下載共用資料,禁止寫入和刪除資料,以降低共用資料被誤刪、篡改的風險。
背景資訊
部門A將儲存在example-bucket儲存空間(Bucket)中的資料共用給部門B的使用者,並允許部門B的使用者下載資料。本文介紹如何以最小許可權原則對共用資料進行許可權控制。在本情境下兩個部門的管理員、使用者與共用儲存空間之間的邏輯關係如下圖所示。
實現流程
在此情境下,A部門的管理員可以通過配置Bucket Policy,授予B部門使用者允許下載,但禁止寫入和刪除共用資料的許可權。具體配置流程如下:
A部門管理員建立一個用於共用資料的Bucket(example-bucket)。
A部門管理員通過Bucket Policy,授權本部門使用者上傳共用資料的許可權。
A部門管理員通過配置Bucket Policy,授權B部門使用者允許下載、禁止寫入和刪除的許可權。
A部門使用者上傳資料到example-bucket。
驗證B部門使用者對共用資料僅擁有下載許可權、但無法對共用資料進行寫入和刪除操作。
前提條件
企業帳號已通過存取控制RAM建立A部門管理使用者及其普通使用者、B部門管理使用者及其普通使用者。
具體操作,請參見建立RAM使用者。
已擷取RAM使用者UID。具體操作,請參見查看RAM使用者資訊。
已為RAM使用者授權
在建立管理使用者時,A部門的管理員由於要執行建立Bucket、配置Bucket Policy等操作,因此需要管理員所屬使用者組具有AliyunOSSFullAccess許可權。具體操作,請參見為RAM使用者授權。
步驟1:建立Bucket
A部門管理員在華東1(杭州)地區建立Bucket。具體步驟如下:
步驟2:授予上傳許可權
部門A的管理員為本部門的使用者配置允許上傳共用資料的許可權。具體步驟如下:
單擊步驟1中建立的example-bucket。
在左側導覽列,選擇 。
在Bucket 授權策略頁面的按圖形策略添加頁簽,單擊新增授權。
在新增授權面板,按說明配置以下參數,其他參數保留預設配置。
配置項
說明
授權資源
選擇整個Bucket,授權策略對整個Bucket生效。
授權用戶
選擇子帳號。
您可以從下拉式功能表中選擇部門A管理員帳號下允許上傳資料的使用者帳號。如果部門A管理員下的使用者帳號較多時,您也可以直接在搜尋方塊輸入子帳號名稱,搜尋支援模糊比對。
授權操作
選擇簡單設定後,單擊讀/寫。
表示被授權使用者可以對指定資源執行讀取和寫入操作。
單擊確定。
此時,允許A部門使用者上傳資料的許可權配置完成。
步驟3:授予允許下載、禁止寫入和刪除的許可權
部門A的管理員為部門B的使用者配置允許下載共用資料的許可權。具體步驟如下:
單擊步驟1中建立的example-bucket。
在左側導覽列,選擇 。
在Bucket 授權策略頁面的按圖形策略添加頁簽,單擊新增授權。
在新增授權面板,按說明配置以下參數,其他參數保留預設配置。
配置項
說明
授權資源
選擇整個Bucket,授權策略對整個Bucket生效。
授權用戶
選擇其他帳號:輸入被授權下載共用資料B使用者的UID。
授權操作
選擇簡單設定後,單擊唯讀(包括ListObject)操作。
表示對共用資源example-bucket中的資料擁有查看、列舉及下載許可權,但無法對共用資料執行寫入和刪除操作。
單擊確定。
此時,部門A的管理員為部門B的使用者配置授予允許下載、禁止寫入和刪除的許可權已完成。
步驟4:上傳資料
A部門使用者上傳資料到example-bucket。具體步驟如下:
步驟5:驗證許可權
許可權授予成功後,通過OSS控制台驗證B部門使用者對共用資料僅擁有下載許可權、但無法對共用資料進行寫入和刪除操作。
使用B部門使用者帳號登入OSS管理主控台。
通過
https://oss.console.aliyun.com/bucket/hangzhou/example-bucket/object
進入檔案清單頁面。在檔案清單頁面,驗證以下許可權。
驗證B部門使用者對共用資料的下載許可權。
單擊example-bucket中任意目標檔案右側的
。下載失敗,表示下載許可權配置失敗,請檢查許可權配置是否正確。
下載成功,表示下載許可權配置成功。
驗證B部門使用者對共用資料的上傳許可權。
參考步驟4上傳檔案。
上傳失敗,表示上傳許可權配置成功。
上傳成功,表示上傳許可權配置失敗,請檢查許可權配置是否正確。
驗證B部門使用者對共用資料的刪除許可權。
單擊example-bucket中任意目標檔案右側的
。刪除失敗,表示刪除許可權配置成功。
刪除成功,表示刪除許可權配置失敗,請檢查許可權配置是否正確。