criss | 发布于 2022-05-16 11:20:12 | 阅读量 1408 |
发布于 2022-05-16 11:20:12 |

1.IAM权限

默认情况下,管理员创建的IAM用户没有任何权限,需要将其加入用户组,并给用户组授予策略和角色,才能使得用户组中的用户获得策略定义的权限,这一过程称为授权。授权后,用户就可以基于被授予的权限对服务进行操作。

IAM权限作用于SSO所有的桶和对象。如果要授予IAM用户操作SSO资源的权限,则需要向IAM用户所属的用户组授予一个或多个SSO权限。

一般SSO根据授权精细程度分为角色和策略。

角色(Minio中貌似没有角色):IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度,提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系,因此给用户授予角色时,可能需要一并授予依赖的其他角色,才能正确完成业务。角色并不能满足用户对精细化授权的要求,无法完全达到企业对权限最小化的安全管控要求。
策略(minio中有):IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。例如:针对SSO服务,管理员能够控制IAM用户仅能对某一个桶资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分。

 

  • Allow表示允许操作
  • Action表示对资源的具体操作权限,对对象操作,首先要操作存储桶,所以首先这里给了存储桶查询权限,然后给了上传和下载对象的权限
  • Resource表示对test存储桶下的所有资源有限
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListAllMyBuckets",
                "s3:ListBucket",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::test",
                "arn:aws:s3:::test/*"
            ]
        }
    ]
}


以上表示,当所述请求包括以下访问控制列表(ACL)中的一个:public-read,public-read-write或authenticated-read,拒绝任何亚马逊S3在桶examplebucket中PutObject或PutObjectAcl请求。

策略语法参数:


从最基本的意义上说,策略包含以下元素:

  • Resources  资源 – 存储桶、对象、访问点和作业是您可以允许或拒绝其权限的 Amazon S3 资源。在策略中,您可以使用 Amazon 资源名称 (ARN) 来标识资源。有关更多信息,请参阅 Amazon S3 资源

  • Actions      操作  – 对于每个资源,Amazon S3 支持一组操作。通过使用操作关键字确定将允许(或拒绝)的资源操作。

    例如,该权限允许用户使用 Amazon S3 GET 存储桶(列出对象)操作。有关使用 Amazon S3 操作的更多信息,请参阅 Amazon S3 操作。有关 Amazon S3 操作的完整列表,请参阅操作s3:ListBucket

  • Effect         效果 – 当用户请求特定操作时,效果是什么 - 可以是允许拒绝

    如果未显式授予对资源的访问权限(允许),则隐式拒绝访问。您还可以显式拒绝对资源的访问。您可以这样做以确保用户无法访问资源,即使其他策略授予访问权限也是如此。有关更多信息,请参阅 IAM JSON 策略元素:效果

  • Principal    委托人 – 允许访问语句中的操作和资源的账户或用户。在存储桶策略中,委托人是作为此权限接收者的用户、账户、服务或其他实体。有关详细信息,请参阅主体

  • Condition  条件 – 策略生效的条件。您可以使用 AWS 范围的密钥和特定于 Amazon S3 的密钥在 Amazon S3 访问策略中指定条件。有关更多信息,请参阅 Amazon S3 条件键示例


 

策略语法参数:
参数    说明
Version	              标识策略的版本号,Minio中一般为"2012-10-17"
Statement	          策略授权语句,描述策略的详细信息,包含Effect(效果)、Action(动作)、Principal(用户)、Resource(资源)和Condition(条件)。其中Condition为可选
Effect	Effect(效果)作用包含两种:Allow(允许)和Deny(拒绝),系统预置策略仅包含允许的授权语句,自定义策略中可以同时包含允许和拒绝的授权语句,当策略中既有允许又有拒绝的授权语句时,遵循Deny优先的原则。
Action	Action(动作)对资源的具体操作权限,格式为:服务名:资源类型:操作,支持单个或多个操作权限,支持通配符号*,通配符号表示所有。例如 s3:GetObject ,表示获取对象
Resource	Resource(资源)
策略所作用的资源,支持通配符号*,通配符号表示所有。在JSON视图中,不带Resource表示对所有资源生效。Resource支持以下字符:-_0-9a-zA-Z*./\,如果Resource中包含不支持的字符,请采用通配符号*。例如:arn:aws:s3:::my-bucketname/myobject*\,表示minio中my-bucket/myobject目录下所有对象文件。
Condition	Condition(条件)您可以在创建自定义策略时,通过Condition元素来控制策略何时生效。Condition包括条件键和运算符,条件键表示策略语句的Condition元素,分为全局级条件键和服务级条件键。全局级条件键(前缀为g:)适用于所有操作,服务级条件键(前缀为服务缩写,如obs:)仅适用于对应服务的操作。运算符与条件键一起使用,构成完整的条件判断语句。

2.

3.


 

 

 

 

 

 

 

 

 

 

 

 

 

 

权限官网文档

Policy Management — MinIO Baremetal Documentation


内容更新于: 2022-05-16 11:20:12
链接地址: http://blog.leanote.com/post/criss/minio%E6%9D%83%E9%99%90%E7%AD%96%E7%95%A5

上一篇: minio分布式物理机

下一篇: IaaS,PaaS,SaaS 的区别

1408 人读过
立即登录, 发表评论.
没有帐号? 立即注册
0 条评论
文档导航