桶策略

最新推荐文章于 2022-06-01 11:49:48 发布
最新推荐文章于 2022-06-01 11:49:48 发布
阅读量854 收藏 1
点赞数
分类专栏: 分布式存储 # Ceph 文章标签: ceph rgw 桶策略

Ceph对象网关支持应用于桶的Amazon S3策略语言的子集。

创建和删除

桶策略是通过标准S3操作而不是radosgw-admin管理的。

例如,可以使用s3cmd设置或删除策略,因此:

$ cat > examplepol
{
  "Version": "2012-10-17",
  "Statement": [{
    "Effect": "Allow",
    "Principal": {"AWS": ["arn:aws:iam::usfolks:user/fred:subuser"]},
    "Action": "s3:PutObjectAcl",
    "Resource": [
      "arn:aws:s3:::happybucket/*"
    ]
  }]
}

$ s3cmd setpolicy examplepol s3://happybucket
$ s3cmd delpolicy s3://happybucket

限制

目前,我们仅支持以下操作:

  • s3:AbortMultipartUpload
  • s3:CreateBucket
  • s3:DeleteBucketPolicy
  • s3:DeleteBucket
  • s3:DeleteBucketWebsite
  • s3:DeleteObject
  • s3:DeleteObjectVersion
  • s3:DeleteReplicationConfiguration
  • s3:GetAccelerateConfiguration
  • s3:GetBucketAcl
  • s3:GetBucketCORS
  • s3:GetBucketLocation
  • s3:GetBucketLogging
  • s3:GetBucketNotification
  • s3:GetBucketPolicy
  • s3:GetBucketRequestPayment
  • s3:GetBucketTagging
  • s3:GetBucketVersioning
  • s3:GetBucketWebsite
  • s3:GetLifecycleConfiguration
  • s3:GetObjectAcl
  • s3:GetObject
  • s3:GetObjectTorrent
  • s3:GetObjectVersionAcl
  • s3:GetObjectVersion
  • s3:GetObjectVersionTorrent
  • s3:GetReplicationConfiguration
  • s3:ListAllMyBuckets
  • s3:ListBucketMultipartUploads
  • s3:ListBucket
  • s3:ListBucketVersions
  • s3:ListMultipartUploadParts
  • s3:PutAccelerateConfiguration
  • s3:PutBucketAcl
  • s3:PutBucketCORS
  • s3:PutBucketLogging
  • s3:PutBucketNotification
  • s3:PutBucketPolicy
  • s3:PutBucketRequestPayment
  • s3:PutBucketTagging
  • s3:PutBucketVersioning
  • s3:PutBucketWebsite
  • s3:PutLifecycleConfiguration
  • s3:PutObjectAcl
  • s3:PutObject
  • s3:PutObjectVersionAcl
  • s3:PutReplicationConfiguration
  • s3:RestoreObject

我们尚不支持在用户,组或角色上设置策略。

我们使用RGW的“租户”标识符代替亚马逊的十二位数帐户ID。 将来,我们可能会允许您为租户分配账户ID,但是现在,如果您想在AWS S3和RGW S3之间使用策略,则在创建用户时必须使用Amazon账户ID作为租户ID。

在AWS下,所有租户共享一个名称空间。 RGW为每个租户提供其自己的桶命名空间。 在将来的版本中,可能会有一个选项来启用类似AWS的“扁平”桶命名空间。 目前,要访问属于另一个租户的桶,请在S3请求中将其命名为“ tenant:bucket”。

在AWS中,桶策略可以将访问权限授予另一个帐户,然后该帐户所有者可以将访问权限授予具有用户权限的单个用户。由于我们还不支持用户、角色和组权限,因此帐户所有者当前需要直接向单个用户授予访问权限,而授予整个帐户对桶的访问权限将授予该帐户中的所有用户访问权限。

桶策略尚不支持字符串插值。

对于所有请求,我们支持的条件键为:-aws:CurrentTime-aws:EpochTime-aws:PrincipalType-aws:Referer-aws:SecureTransport-aws:SourceIp-aws:UserAgent-aws:username

对于桶和对象请求,我们支持某些S3条件键。

桶相关操作

权限条件键注释
s3:createBuckets3:x-amz-acl s3:x-amz-grant-
其中,PERM是read/write/read-acp write-acp/ full-control之一
s3:ListBucket &s3:ListBucketVersionss3:prefix
s3:delimiter
s3:max-keys
s3:PutBucketAcls3:x-amz-acl s3:x-amz-grant-

对象相关操作

权限条件键注释
s3:PutObjects3:x-amz-acl & s3:x-amz-grant-

s3:x-amz-copy-source

s3:x-amz-server-side-encryption

s3:x-amz-server-side-encryption-aws-kms-key-id
s3:x-amz-metadata-directive
s3:RequestObjectTag/		PUT&COPY会覆盖/保留COPY请求中的元数据
s3:PutObjectAcl
s3:PutObjectVersionAcl		s3:x-amz-acl & s3-amz-grant-
s3:ExistingObjectTag/
s3:PutObjectTagging & s3:PutObjectVersionTaggings3:RequestObjectTag/
s3:ExistingObjectTag/
s3:GetObject & s3:GetObjectVersions3:ExistingObjectTag/
s3:GetObjectAcl & s3:GetObjectVersionAcls3:ExistingObjectTag/
s3:GetObjectTagging & s3:GetObjectVersionTaggings3:ExistingObjectTag/
s3:DeleteObjectTagging & s3:DeleteObjectVersionTaggings3:ExistingOBjectTag/

一旦我们与最近重写的身份验证/授权子系统集成,可能很快就会支持更多功能。

实践

桶策略的存储形式是存储池XXX.rgw.meta中名为user.rgw.iam-policy的rados对象,该rados对象的内容即是桶策略的内容。

桶策略的文本格式为:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": [
          "arn:aws:iam:::user/user2"
        ]
      },
      "Action": "s3:ListBucket",
      "Resource": [
        "arn:aws:s3:::bucket01"
      ]
    }
  ]
}
  • Version : policy版本,目前测试只能设定为”2012-10-17”
  • Effect : 允许或者禁止 , 可选值 1. Allow 2. Deny
  • Principal: 指定规则生效的对象 ;格式为 “Principal”:{“AWS”:“arn:aws:iam::[tenant]:user/[username]“}
  • Action : 操作, 目前可以设定的操作可参考限制。
  • Resource : 限定的资源,一般就是指bucket

假设存在user1、user2,创建bucket01,拥有者为user1。

设置一个如示例中的桶策略。

查看桶的详情,记录桶的id。

# radosgw-admin bucket stats --bucket=bucket01
{
    "bucket": "bucket01",
    "num_shards": 0,
    "tenant": "",
    "zonegroup": "6c60018f-7d68-4633-a76d-1d323f21ddae",
    "placement_rule": "default-placement",
    "explicit_placement": {
        "data_pool": "",
        "data_extra_pool": "",
        "index_pool": ""
    },
    "id": "63b9264a-b4f8-47db-9efa-a3d570b82308.811240.1",
    "marker": "63b9264a-b4f8-47db-9efa-a3d570b82308.811240.1",
    "index_type": "Normal",
    "owner": "user1",
    "ver": "0#8",
    "master_ver": "0#0",
    "mtime": "2020-10-07 03:31:15.565362Z",
    "max_marker": "0#",
    "usage": {
        "rgw.main": {
            "size": 12535710,
            "size_actual": 12537856,
            "size_utilized": 12535710,
            "size_kb": 12242,
            "size_kb_actual": 12244,
            "size_kb_utilized": 12242,
            "num_objects": 3
        },
        "rgw.multimeta": {
            "size": 0,
            "size_actual": 0,
            "size_utilized": 0,
            "size_kb": 0,
            "size_kb_actual": 0,
            "size_kb_utilized": 0,
            "num_objects": 0
        }
    },
    "bucket_quota": {
        "enabled": true,
        "check_on_raw": false,
        "max_size": -1,
        "max_size_kb": 0,
        "max_objects": -1
    }
}

查看bucket 元数据对象的属性

# rados  -p datacenter.rgw.meta --namespace root listxattr .bucket.meta.bucket01:63b9264a-b4f8-47db-9efa-a3d570b82308.811240.1 
ceph.objclass.version
user.rgw.acl
user.rgw.iam-policy

查看user.rgw.iam-policy 属性的值

# rados -p datacenter.rgw.meta --namespace root getxattr .bucket.meta.bucket01:63b9264a-b4f8-47db-9efa-a3d570b82308.811240.1 user.rgw.iam-policy
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": [
          "arn:aws:iam:::user/user2"
        ]
      },
      "Action": "s3:ListBucket",
      "Resource": [
        "arn:aws:s3:::bucket01"
      ]
    }
  ]
}
HHFQ
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Ceph RGW中各Pool的作用
chitun9294的博客
06-15 2064
Ceph RGW中各Pool的作用 1.引言 在使用Ceph的radosgw服务时,会通过create pool命令创建一系列的pool,服务于radosgw.我想在本文中分析出各个pool的作用。 2.pool信息罗列 POOLS: NAME ...
Amazon S3 资源概述及管理访问基本操作
MansonRi
07-04 1万+
Amazon S3 资源概述及管理访问基本操作 默认情况下,所有Amazon S3资源都是私有的,包括存储、对象和相关子资源(例如liftcycle、website配置)。只有资源拥有者,即创建该资源的AWS账户可以访问资源。资源拥有者可以选择通过编写访问策略授予他人访问权限。 Amazon S3提供的访问策略大致可分为两类:基于资源的策略、用户策略。 附加到资源(存储和对象)的访问策
minio8.x版本设置policy策略
qq_48329942的博客
01-21 1万+
文章目录前言一、policy策略1)7.0版本实现方式2)8.0后设置策略二、policy-理解json字符串含义1.新建是什么策略2.设置的规则3.用java代码完成1)将设置为public2)内文件夹权限设置4.prefix是断言吗?5.java代码设置策略总结 前言 minio是一个文件存储服务器,他实现了亚马逊s3协议,所以在文件管理管理上有着更加细粒的权限划分,同时它有着部署简便,支持大数据存储,上传下载速度快。分布式部署可以实现纠删码防止文件丢失特性。今天这篇文章主要讲mini..
Ceph运维笔记
weixin_42340926的博客
01-11 648
查看ceph 读写i/o最好不要通过iostat查看 因为有可能会将内容写到缓存中,从而无法获得对于的真正读写i/o 可以通过ceph dashboard来查看,也可以通过ceph -s来查看 动态获取脚本: #!/bin/bash LANG=C PATH=/sbin:/usr/sbin:/bin:/usr/bin interval=1 length=86400 for i in $(seq 1 $(expr ${length} / ${interval}));do date=`date` echo -..
minio使用setBucketPolicy设置策略
Source
07-29 7823
minio是支持Amazon S3的策略的, 懂的可以直接用不懂的也可以去看看 Amazon S3策略 我来分享一下我写的 { "Statement": [ { "Action": [ "s3:GetBucketLocation", "s3:ListBucket" ], "Effect": "Allow", "Principal": "*", "Resource": "arn:aws:s3:::my-bu
huaweicloudDocs#obs#管理策略1
07-25
例如,您已设置了A,B,C 和 D 四个策略,现需要添加新的策略E,则配置策略 E 时,需在原有四个策略的基础上添加策略 E,然后重新上传所有策略。同理,
巨量算数巨量引擎轻游行业全家策略白皮书2.0202321页.pdf
07-30
【巨量算数巨量引擎轻游行业全家策略白皮书2.0】深入剖析了当前轻游行业的现状和挑战,并提供了相应的营销策略。随着社会节奏加速,用户娱乐时间碎片化,轻游因其简单的操作和低时间成本,成为了填充用户闲暇时光...
流量策略及令牌的工作原理
05-31
流量策略及令牌的工作原理,缓解DOS攻击的方法很多,比如说用ACL,URPF等技术都可以实现,但本专题仅专注于用traffic-police(流量策略)技术实现。
分水算法
09-26
"水分水算法"是一种在计算机科学和编程领域中用于数据处理和资源分配的策略。这个算法的主要思想是将有限的资源(如水)均匀地分配到多个容器(水)中,确保每个容器都能获得公平的份额。在实际应用中,这种算法...
排序算法
12-07
排序算法基于分治策略,其核心思想是将待排序序列均匀地分布到有限数量的里,每个内的元素单独进行排序,最终再依次合并所有中的有序序列。 排序假设输入数据服从均匀分布,因此,首先需要确定一个合适的...
Minio存储访问策略
热门推荐
dingjs520的专栏
01-19 1万+
访问策略 该包实现基于访问策略语言规范(Access Policy Language specification)的解析和验证存储访问策略 - http://docs.aws.amazon.com/AmazonS3/latest/dev/access-policy-language-overview.html 支持以下效果 Allow Deny 支持以下操作 s3:GetOb
php s3 创建bucket,如何引用在云形成中创建的S3 bucket
weixin_42295528的博客
03-28 107
我在cloudformation的serverless中创建了一个S3 bucket,如下所示:s3bucket:Type: 'AWS::S3::Bucket'BucketPolicy:Type: "AWS::S3::BucketPolicy"Properties:Bucket: !Ref 's3bucket'PolicyDocument:Id: ProdAnsiblePolicyVersion:...
ceph对象存储的配置与S3、swift接口的使用
CloudXli的博客
03-04 1万+
首先简单了解一下一些ceph对象存储的基本知识: Ceph: 起始于2006年 开发语言:C 强一致性 块存储 对象存储 Swift: 起始于2008年 开发语言:Python 最终一致性 对象存储 真正的大型公用云服务产品中使用 对象存储介绍: Ceph本质上就是一个rados,利用命令rados就可以访问和使用ceph的对象存储...
ceph rgw:bucket policy实现
会哭的雨@的博客
08-31 2016
ceph rgw:bucket policy实现 相比于aws,rgw的bucket policy实现的还不是很完善,有很多细节都不支持,并且已支持的特性也在很多细节方面与s3不同,尤其是因为rgw不支持类似s3的account user结构,而使用tenant作为替代而导致的一些不同。 并且在文档中还提及,为了修正这种不同,以及支持更多特性,在不久后会重写rgw的 Authentication/Authorization subsystem。到时候可能导致一些兼容问题? 差异性,主要有以下几点:
ceph系列二、数据布局
effort6的博客
05-22 1251
1、RGW中三种数据类型 data metadata bucket.index 2、metadata user:保存user信息 bucket:维护bucket name和bucket instance id的映射 bucket.instance:保存bucket instance信息 1.获取元数据列表 # radosgw-admin metadata list [ "bucket", "bucket.instance", "user" ] 2.获取指定类
Luminous的新特性: RGW 动态分片
03-03 552
本文翻译自: https://ceph.com/community/new-luminous-rgw-dynamic-bucket-sharding/ 翻译术语说明: bucket sharding : 分片 dynamic bucket sharding:动态分片 ...
ceph radosgw-admin的操作
dlm520947的博客
01-10 2101
常用操作: 生成一新用户: 在两个集群当中都创建相同的管理用户 radosgw-admin user create --uid=admin --display-name=admin --access_key=admin --secret=123456 这里为了测试方便使用了简单密码 此时admin还仅仅是普通的权限,需要通过cap添加user的c...
ceph相关】bucket动态分片问题处理
Luxf0的博客
06-01 825
Hammer版本以后,新增bucket分片功能用以解决单存储大量数据的问题,bucket的索引数据可以分布到多个RADOS对象上,bucket存储对象数量随着索引数据的分片数量增加而增加。 但这只对新增的bucket有效,需要提前根据bucket最终存放数据量规划分片数。当存储写入对象超过分片所能承载的最大数时,写入性能暴跌,此时需要手动修改分片数量,以此去承载更多的对象写入。
CEPH radosgw-admin命令大全
weixin_38210643的博客
12-25 2009
user create create a new user user modify modify user user info get user info user rm remove user user suspend s...
python分策略
最新发布
05-10
Python分策略是一种常用于数据处理和分析的方法,主要是将数据按照一定的规则分成多个,以便于进一步的统计分析。常见的分策略包括等宽分和等频分。 等宽分是指将数据范围划分为多个区间,每个区间的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值