对象存储S3权限控制

已于 2022-08-08 14:25:22 修改
阅读量3.2k 收藏 3
点赞数
分类专栏: ceph 文章标签: aws 云计算 ceph
于 2022-01-20 16:09:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Moolight_shadow/article/details/122603932
版权

layout: post
title: 对象存储S3权限控制
catalog: true
tag: [Ceph, S3]

1. 背景

1.1. 需求

A用户创建了一个桶bucket1
B用户需要能对桶bucket1进行操作
A用户上传的东西B用户可以操作,B用户上传的东西A用户可以操作

1.2. 存在的问题

  • ceph rgw 多租户不能实现这个功能,且多租户功能还没补齐
  • bucket link 只能替换存储桶的owner
  • Policy
    • ceph文档太少
    • aws文档是否适用于ceph
  • ACL 权限控制稍弱

2. 几种已有方式的使用

2.1. 更改用户

更改owner,将一个桶的owner变成 user2,这样原来的owner就不具备对桶所有权限了,他的权限全部转移到user2

# 修改
radosgw-admin bucket link --bucket bucketusage --uid user2 --bucket_id e5162bfb-bb2f-46e0-bc9a-1d067d672f73.202155490.1
# unlink 没啥用,用link即可
radosgw-admin bucket unlink --bucket bucketusage --uid user2 --bucket_id e5162bfb-bb2f-46e0-bc9a-1d067d672f73.202155490.1

2.2. policy授权

授权桶和对象给别的用户,这种方式权限控制最细,一般是deny all,然后根据需求access,下面的例子只实现背景中的需求

2.2.1. example

允许
test用户
s3的所有操作
对桶bucketusage、对象bucketusage/*

bucketusage 的owner是user1

cat examplepol
{
  "Version": "2012-10-17",
  "Statement": [{
    "Effect": "Allow",
    "Principal": {"AWS": ["arn:aws:iam:::user/user2"]},
    "Action": "s3:*",
    "Resource": [
      "arn:aws:s3:::bucketusage",
      "arn:aws:s3:::bucketusage/*"
    ]
  },
  {
    "Effect": "Allow",
    "Principal": {"AWS": ["arn:aws:iam:::user/user1"]},
    "Action": "s3:*",
    "Resource": [
      "arn:aws:s3:::bucketusage",
      "arn:aws:s3:::bucketusage/*"
    ]
  }]
}

2.2.2. 设置

# 设置
s3cmd -c .s3cfg-user1 setpolicy examplepol s3://bucketusage
# 删除
s3cmd -c .s3cfg-user1 delpolicy examplepol s3://bucketusage

2.2.3. 设置效果

# 使用user2上传一个对象到user1的桶
s3cmd -c .s3cfg-user2 put xxx s3://bucketusage
# user1可以访问这个对象,user2也可以访问这个对象
[root@ceph01 ~]# s3cmd -c .s3cfg-xxxxxx info  s3://bucketusage/xxx
s3://bucketusage/xxx (object):
   File size: 354
   Last mod:  Thu, 20 Jan 2022 06:00:33 GMT
   MIME type: text/plain
   Storage:   STANDARD
   MD5 sum:   456a2de120feb6d9371e95a54ddb7a35
   SSE:       none
   Policy:    {
  "Version": "2012-10-17",
  "Statement": [{
    "Effect": "Allow",
    "Principal": {"AWS": ["arn:aws:iam:::user/user1"]},
    "Action": "s3:*",
    "Resource": [
      "arn:aws:s3:::bucketusage",
      "arn:aws:s3:::bucketusage/*"
    ]
  },
  {
    "Effect": "Allow",
    "Principal": {"AWS": ["arn:aws:iam:::user/user2"]},
    "Action": "s3:*",
    "Resource": [
      "arn:aws:s3:::bucketusage",
      "arn:aws:s3:::bucketusage/*"
    ]
  }]
}

   CORS:      none
   ACL:       display user2: FULL_CONTROL
   x-amz-meta-s3cmd-attrs: atime:1642658418/ctime:1642647563/gid:0/gname:root/md5:456a2de120feb6d9371e95a54ddb7a35/mode:33188/mtime:1642618683/uid:0/uname:root

2.2.4. 参考示例

ceph源码

  • 文档
    • doc/radosgw/bucketpolicy.rst
    • doc/radosgw/role.rst
    • qa/tasks/rgw_multi/tests.py
  • 数据结构
    • src/rgw/rgw_iam_policy.h

amazon s3 policy

2.3. acl

acl针对对象用的比较多,桶层级作用相对小,例如给某个对象生成一个http url

# 设置ACL,设为public
s3cmd -c .s3cfg-user2 setacl  s3://bucketusage/xxx -P
# 设置好之后info里面会多一条 URL
s3cmd -c .s3cfg-xxxxxxxx info  s3://bucketusage/xxx
# URL:       http://172.16.10.10:8080/bucketusage/xxx

3. 关于s3文档

ceph的s3相关文档相对较少,使用时有两个路径可以找到比较多的说明材料

  • aws s3文档: 文档齐全,但是有些功能ceph没有
  • ceph 源码: 包括文档和测试用例、还有数据结构

使用时文档可参考aws s3,但要看下ceph里面有没有相关的例子

gfengwong
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
AWSS3存储桶策略 ( S3 bucket policy )
shenghuiping2001的专栏
01-13 4232
今天开始aws 的认证考试: SAP, 上面有个题目是怎么控制S3 bucket 里面的资源不被另外一个VPC里面的EC2 实例使用,顺便学习了S3 的存储桶策略. 1: 先从创建一个存储桶 开始: 2: 然后开始编辑这个存储桶 的策略,发现原来这个S3 的设定是不公开的:(所以报错了) 3: 下面打开这个存储桶的权限: 4: 创建一个文件夹: testing, 并且上传一个文件,打开这个文件,看到这个文件的URL: 5:发现报错了,说没有权限: 6:把这个文件的权限打...
AWS S3 对象云存储。SDK msvc_x64下使用,vs2019编译 debug库。
07-25
AWS S3 全名是 Simple Storage Service,简便的存储服务。为什么这么起名啊?它: 提供了统一的接口 REST/SOAP ...作为一个对象存储服务,S3 功能真的很完备。如果不用搭梯子,访问快,我还真想过拿它来做自己的网盘。
AWS入门实践-S3 精细化权限控制
weixin_39108752的博客
04-05 1760
Amazon S3的精细访问控制使你能够精确地管理对S3资源的访问权限。这是通过一系列的权限管理工具和选项来实现的,包括身份与访问管理(IAM)策略、存储桶策略、访问控制列表(ACL)和预签名URL。
Amazon S3 存储桶上设置公共只读访问权限
最新发布
qq_47415017的博客
04-19 585
Amazon S3 存储桶上设置公共只读访问权限
记录:AWS S3权限设置
CMEguagua的博客
03-15 2778
要求:1、关闭公开访问 2、服务器使用ak、sk连接,设置存储桶策略 3、开启桶加速,使用 cloufront 域名或者自定义域名 1、存储桶设置--阻止共有访问 2、在 CloutFront 控制台 源访问身份 并分配 2.1、创建---源访问身份(OAI) 2.2、分配源访问身份的访问 3、配置S3桶的存储桶策略 设置桶的访问权限后,!!!注意代码里面不要设置文件的共有访问属性 { "Version":...
java 使用amazon s3接口访问本地ceph rgw
fct2001140269的博客
07-01 4153
java 使用amazon s3接口访问本地ceph rgw 参考文章:https://blog.csdn.net/wxmvp009/article/details/79854981 场景区别: 场景1.使用aws S3的java接口api访问ceph rgw上搭建的S3文件系统。(本文讲的是这种场景 ) 场景2: 使用aws S3的API直接访问aws S3云存储的存储桶bucket 使用ja...
aws s3仅允许cloudfront访问_AWS S3 允许 IAM 用户访问其 S3 某个目录
weixin_39915081的博客
11-25 165
需求:为某个用户设置S3 HOME目录的控制权限,其他目录均无权限访问。新建IAM策略,此示例显示您可以如何创建策略 允许 IAM 用户访问其位于 S3 中的主目录存储桶对象。主目录是一个包含 home 文件夹和个人用户文件夹的存储桶。此策略还授予在控制台上完成此操作所需的必要权限。要使用此策略,请将示例策略中的斜体占位符文本替换为您自己的信息{ "Version": "2012-10-17...
springboot集成amazon aws s3对象存储sdk(javav2)
01-12
而Amazon S3(Simple Storage Service)是AWS提供的一个云存储服务,用于存储和检索任何数量的数据,无论何时何地。本篇文章将深入探讨如何在SpringBoot项目中集成AWS S3 SDK(Java V2版本),实现对象的分页列表、...
私有化对象存储服务器搭建软件MinIO
06-11
MinIO支持对象存储遵循S3(Simple Storage Service)接口,兼容AWS S3 API,方便用户迁移和使用。 **二、MinIO的特性** 1. **高性能**:MinIO使用多线程、多节点并行处理来实现高性能的数据读写,尤其在大数据量...
Minio对象存储及Springboot整合Minio分片上传文章-代码
02-23
在实际项目中,你可能还需要考虑其他因素,比如权限控制、文件元数据管理、生命周期策略等。 通过以上步骤,你已经成功地将Minio对象存储与Spring Boot整合,并实现了分片上传功能。这将使你的应用能够高效、可靠地...
Object_Data_Management.zip_云存储_云计算_对象存储_技术
09-20
这种设计使得对象存储特别适合大数据、多媒体内容和非结构化数据的存储,同时提供了版本控制、数据冗余和易于访问的特性。 对象存储系统通常由以下组件构成: 1. 存储节点:实际存储数据的服务器或设备,它们通常...
S3存储桶策略(S3 Bucket Policies)
iloveaws的博客
01-06 8550
关注公众号:AWS爱好者(iloveaws) 文 | 沉默恶魔(禁止转载,转载请先经过作者同意) 网站:www.iloveaws.cn 08-S3存储桶策略(S3 Bucket Policies) 【 Domain 1的组织复杂性设计(Design for Organizational Complexity)】——-S3存储桶策略(S3 Bucket Policies) Hello大家好,欢迎回...
【分布式技术】分布式存储ceph之RGW接口
liu_xueyin的博客
01-18 1375
提供了user、container和object分别对应于用户、存储桶和对象,不过它还额外为user提供了父级组件account,用于表示一个项目或用户组,因此一个account中可以包含一到多个user,它们可共享使用同一组container,并为container提供名称空间。对象存储(object storage)是非结构数据的存储方法,对象存储中每一条数据都作为单独的对象存储,拥有唯一的地址来识别数据对象,通常用于云计算环境中。2、存储桶属于某个用户并可以容纳对象,一个存储桶用于存储多个对象。
AWS S3桶 配置访问权限(AKSK)的流程
dwe147的博客
08-12 4820
为了能访问有权限限制的AWS S3桶,需要在访问S3桶的机器上配置AKSK
[AWS][存储] 制作自己的企业网盘S3 Policy+S3 Browser
栗子哥的云计算博客
06-19 1238
最近很多客户问我S3有没有客户端工具?如何通过IAM用户和权限通过一个客户端来管理我的存储桶? 本文以第三方工具S3 Browser 结合 S3 的 一些特性(Bucket,Objective-level-logging,IAM user,IAM Policy,S3 versioning)一步一步带你实现客户端的存储桶管理。 非常适合的场景是多个部门或Team,比如开发,市场,运营,人事等 他们都需要有各自的权限各自的桶来管理文件。 先建立一个bucket:s3-bucket-devgroup 来作为测试
AWS s3访问权限
qq_43203949的博客
12-13 5952
AWS s3访问权限 1.1基础策略字段 通过json来控制S3桶的访问权限,以下示例策略用于访问存储桶。该策略允许用户仅对 MY-BUCKET 执行 s3:ListBucket、s3:PutObject 和 s3:GetObject 操作: (下面我将对下面策略的字段进行解释) { "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "s
s3cmd 安装使用指南
weixin_30765475的博客
09-02 532
https://wangyan.org/blog/s3cmd-how-to-use.html s3cmd 安装使用指南 s3cmd 是一款 Amazon S3 命令行工具。它不仅能上传、下载、同步,还能设置权限,下面是完整的安装使用指南。 一、安装方法 方法一:(Debian/Ubuntu ) 1 2 3 wget -O- -q http://s3t...
ceph学习 ---s3cmd
会哭的雨@的博客
08-23 2276
ceph学习 s3cmd s3cmd安装 通过pip和yum可以直接安装,没有pip的需要安装pip yum install s3cmd pip search s3cmd 生成秘钥 radosgw-admin user create --uid=test1 --display-name="test1" --email=test1@abc.com 查看 radosgw-admin user info --uid=test1 { "user_id": "test1",.
对象存储s3怎么用呢
09-04
S3(Simple Storage Service)是亚马逊AWS提供的一种对象存储服务,用于存储和检索任意数量的数据。以下是使用S3的基本步骤: 1. 创建一个S3存储桶(Bucket):在AWS管理控制台中,找到S3服务,点击"创建存储桶"按钮。选择一个唯一的存储桶名称,并选择存储桶所在的区域。 2. 配置存储桶属性:您可以设置存储桶的访问权限、日志记录、版本控制等设置。 3. 上传对象到存储桶:点击存储桶页面上的"上传"按钮,选择您要上传的文件,并指定对象的键(Key)。您可以选择设置对象的访问权限和其他元数据。 4. 访问和管理对象:您可以使用AWS SDK、AWS命令行工具或S3管理控制台来访问和管理存储桶中的对象。您可以复制、移动、删除对象,以及设置对象的访问权限、元数据等。 5. 设置对象生命周期:您可以配置对象的生命周期规则,以自动转换或删除对象。例如,您可以设置对象在一定时间后自动转换为低频访问存储类别,或在一定时间后自动删除。 请注意,这只是S3的基本用法介绍。S3还提供了更高级的功能,如事件通知、跨区域复制等。详细的使用方法和更多选项可以参考AWS官方文档或开发者指南。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值