全部產品
Search
文件中心

Object Storage Service:基於Bucket Policy實現跨部門資料共用

更新時間:Jun 08, 2024

企業不同部門或專案之間需要共用資料,本部門允許其他部門的使用者下載共用資料,禁止寫入和刪除資料,以降低共用資料被誤刪、篡改的風險。

背景資訊

部門A將儲存在example-bucket儲存空間(Bucket)中的資料共用給部門B的使用者,並允許部門B的使用者下載資料。本文介紹如何以最小許可權原則對共用資料進行許可權控制。在本情境下兩個部門的管理員、使用者與共用儲存空間之間的邏輯關係如下圖所示。

實現流程

在此情境下,A部門的管理員可以通過配置Bucket Policy,授予B部門使用者允許下載,但禁止寫入和刪除共用資料的許可權。具體配置流程如下:

前提條件

  • 企業帳號已通過存取控制RAM建立A部門管理使用者及其普通使用者、B部門管理使用者及其普通使用者。

    具體操作,請參見建立RAM使用者

  • 已擷取RAM使用者UID。具體操作,請參見查看RAM使用者資訊

  • 已為RAM使用者授權

    在建立管理使用者時,A部門的管理員由於要執行建立Bucket、配置Bucket Policy等操作,因此需要管理員所屬使用者組具有AliyunOSSFullAccess許可權。具體操作,請參見為RAM使用者授權

步驟1:建立Bucket

A部門管理員在華東1(杭州)地區建立Bucket。具體步驟如下:

  1. 使用A部門管理員帳號登入OSS管理主控台

  2. 單擊Bucket 列表,然後單擊建立 Bucket

  3. 建立 Bucket面板,配置Bucket參數。

    結合本樣本情境,請將Bucket命名為example-bucket。關於配置Bucket其他各項參數的更多資訊,請參見建立儲存空間

  4. 單擊完成建立

步驟2:授予上傳許可權

部門A的管理員為本部門的使用者配置允許上傳共用資料的許可權。具體步驟如下:

  1. 單擊步驟1中建立的example-bucket。

  2. 在左側導覽列,選擇許可權控制 > Bucket 授權策略

  3. Bucket 授權策略頁面的按圖形策略添加頁簽,單擊新增授權

  4. 新增授權面板,按說明配置以下參數,其他參數保留預設配置。

    配置項

    說明

    授權資源

    選擇整個Bucket,授權策略對整個Bucket生效。

    授權用戶

    選擇子帳號

    您可以從下拉式功能表中選擇部門A管理員帳號下允許上傳資料的使用者帳號。如果部門A管理員下的使用者帳號較多時,您也可以直接在搜尋方塊輸入子帳號名稱,搜尋支援模糊比對。

    授權操作

    選擇簡單設定後,單擊讀/寫

    表示被授權使用者可以對指定資源執行讀取和寫入操作。

  5. 單擊確定

    此時,允許A部門使用者上傳資料的許可權配置完成。

步驟3:授予允許下載、禁止寫入和刪除的許可權

部門A的管理員為部門B的使用者配置允許下載共用資料的許可權。具體步驟如下:

  1. 單擊步驟1中建立的example-bucket。

  2. 在左側導覽列,選擇許可權控制 > Bucket 授權策略

  3. Bucket 授權策略頁面的按圖形策略添加頁簽,單擊新增授權

  4. 新增授權面板,按說明配置以下參數,其他參數保留預設配置。

    配置項

    說明

    授權資源

    選擇整個Bucket,授權策略對整個Bucket生效。

    授權用戶

    選擇其他帳號:輸入被授權下載共用資料B使用者的UID。

    授權操作

    選擇簡單設定後,單擊唯讀(包括ListObject)操作。

    表示對共用資源example-bucket中的資料擁有查看、列舉及下載許可權,但無法對共用資料執行寫入和刪除操作。

  5. 單擊確定

    此時,部門A的管理員為部門B的使用者配置授予允許下載、禁止寫入和刪除的許可權已完成。

步驟4:上傳資料

A部門使用者上傳資料到example-bucket。具體步驟如下:

  1. 使用A部門使用者帳號登入OSS管理主控台

  2. 通過https://oss.console.aliyun.com/bucket/hangzhou/example-bucket/object/upload 進入上傳檔案頁面。

  3. 在上傳檔案頁面,設定上傳檔案參數。

    選擇將檔案上傳至example-bucket目前的目錄。關於上傳檔案的ACL以及檔案上傳方式的更多資訊,請參見控制台上傳檔案

  4. 工作清單面板的上傳列表頁簽等待任務完成,之後關閉對話方塊。

    此時,A使用者已完成將資料上傳至共用Bucket。

步驟5:驗證許可權

許可權授予成功後,通過OSS控制台驗證B部門使用者對共用資料僅擁有下載許可權、但無法對共用資料進行寫入和刪除操作。

  1. 使用B部門使用者帳號登入OSS管理主控台

  2. 通過https://oss.console.aliyun.com/bucket/hangzhou/example-bucket/object進入檔案清單頁面。

  3. 檔案清單頁面,驗證以下許可權。

    1. 驗證B部門使用者對共用資料的下載許可權。

      單擊example-bucket中任意目標檔案右側的more > 下載

      • 下載失敗,表示下載許可權配置失敗,請檢查許可權配置是否正確。

      • 下載成功,表示下載許可權配置成功。

    2. 驗證B部門使用者對共用資料的上傳許可權。

      參考步驟4上傳檔案。

      • 上傳失敗,表示上傳許可權配置成功。

      • 上傳成功,表示上傳許可權配置失敗,請檢查許可權配置是否正確。

    3. 驗證B部門使用者對共用資料的刪除許可權。

      單擊example-bucket中任意目標檔案右側的more > 徹底刪除

      • 刪除失敗,表示刪除許可權配置成功。

      • 刪除成功,表示刪除許可權配置失敗,請檢查許可權配置是否正確。