Zarządzanie użytkownikami i uprawnieniami w Atman Object Storage
Obecnie tworzenie kont w usłudze odbywa się poprzez zgłoszenie pocztą elektroniczną lub portal klienta. Klucze dostępowe do usługi można pobrać w panelu klienta.
W usłudze Atman Object Storage funkcjonują dwa rodzaje użytkowników, konto główne oraz subkonta (subuser). Konta typu subuser funkcjonują w ramach konta głównego, posiadają własne poświadczenia (klucze access i secret). Istnieją dwie możliwości ustanowienia ograniczeń do poszczególnych zasobów: poziom dostępu poszczególnych subkont do wszystkich zasobów w utworzonych w ramach konta głównego oraz polityki dostępowe definiowane na poziomie bucketów (Bucket Policies).
Uprawnienia na poziomie subkont
Istnieje możliwość utworzenia nazwanych subkont, które posiadają własne klucze dostępowe. W tym celu należy wysłać zgłoszenie pocztą elektroniczną lub poprzez panel klienta. W wiadomości prosimy o wskazanie nazw subużytkowników oraz informację o preferowanych uprawnieniach do bucketów tworzonych w ramach konta.
Typy dostępu (dotyczy wszystkich zasobów tworzonych w ramach konta):
| Operacja | READ | WRITE | READWRITE | FULL |
| tworzenie bucketów | ✓ | ✓ | ✓ | ✓ |
| listowanie bucketów | ✓ | ✓ | ✓ | ✓ |
| listowanie zawartości bucketów | ✓ | ✗ | ✓ | ✓ |
| usuwanie bucketów | ✗ | ✓ | ✓ | ✓ |
| odczytywanie obiektów | ✓ | ✓ | ✓ | ✓ |
| zapisywanie obiektów | ✗ | ✓ | ✓ | ✓ |
| usuwanie obiektów | ✗ | ✓ | ✓ | ✓ |
| podgląd polityk bucketów (ACL i bucket policies) | ✗ | ✗ | ✗ | ✓ |
| przypisywanie polityk dostępowych do bucketów (ACL i bucket policies) | ✗ | ✗ | ✗ | ✓ |
Konto główne posiada pełne uprawnienia do tworzonych zasobów (FULL).
Każdy użytkownik bez względu na uprawnienia nadane podczas tworzenia może wylistować buckety oraz utworzyć nowy. Właścicielem wszystkich utworzonych bucketów jest konto główne.
Separacja na poziomie bucketów (Bucket Policies)
Mechanizm Bucket Policies jest zalecanym sposobem zarządzania uprawnieniami do bucketów w ramach usługi Atman Object Storage. Polityki aplikowane są do poszczególnych bucketów. Wewnątrz każdej polityki znajduje się tablica instrukcji, a każda instrukcja zawiera następujące elementy:
Sid – opcjonalny identyfikator instrukcji. Pole umożliwia użytkownikowi wprowadzenie krótkiego opisu dla reguły. Pole to musi być unikalne w ramach tworzonej polityki. Akceptowalne znaki: a-z, A-Z, oraz 0-9.
Effect – określa, czy efektem instrukcji będzie zezwolenie czy odmowa wykonania operacji. Domyślnie dostęp do zasobu jest zabroniony. Akceptowane wartości: Allow albo Deny.
Principal/NotPrincipal – pole definiujące użytkowników, których dotyczy reguła. Użytkownicy muszą zostać zdefiniowani w formacie ARN (przykład poniżej). Znak wieloznaczności * nie jest obsługiwany. Wymagane jest ścisłe zdefiniowanie użytkowników.
"Principal": {
"AWS": [
"arn:aws:iam:::user/username01",
"arn:aws:iam:::user/username01:subuser01"
]
}
Action/NotAction – pole definiuje dozwolone lub zabronione akcje. Lista dostępnych akcji znajduje się poniżej.
Resource – zasób, dla którego nadawane są uprawnienia; bucket lub obiekt.
Condition – element opcjonalny. Warunki umożliwiają tworzenie wyrażeń określających, kiedy należy zastosować regułę.
Lista wspieranych akcji:
- s3:AbortMultipartUpload
- s3:CreateBucket
- s3:DeleteBucketPolicy
- s3:DeleteBucket
- s3:DeleteBucketWebsite
- s3:DeleteObject
- s3:DeleteObjectVersion
- s3:DeleteReplicationConfiguration
- s3:GetAccelerateConfiguration
- s3:GetBucketAcl
- s3:GetBucketCORS
- s3:GetBucketLocation
- s3:GetBucketLogging
- s3:GetBucketNotification
- s3:GetBucketPolicy
- s3:GetBucketRequestPayment
- s3:GetBucketTagging
- s3:GetBucketVersioning
- s3:GetBucketWebsite
- s3:GetLifecycleConfiguration
- s3:GetObjectAcl
- s3:GetObject
- s3:GetObjectTorrent
- s3:GetObjectVersionAcl
- s3:GetObjectVersion
- s3:GetObjectVersionTorrent
- s3:GetReplicationConfiguration
- s3:ListAllMyBuckets
- s3:ListBucketMultiPartUploads
- s3:ListBucket
- s3:ListBucketVersions
- s3:ListMultipartUploadParts
- s3:PutAccelerateConfiguration
- s3:PutBucketAcl
- s3:PutBucketCORS
- s3:PutBucketLogging
- s3:PutBucketNotification
- s3:PutBucketPolicy
- s3:PutBucketRequestPayment
- s3:PutBucketTagging
- s3:PutBucketVersioning
- s3:PutBucketWebsite
- s3:PutLifecycleConfiguration
- s3:PutObjectAcl
- s3:PutObject
- s3:PutObjectVersionAcl
- s3:RestoreObject
Lista wspieranych warunków:
- aws:CurrentTime
- aws:EpochTime
- aws:SourceIp
- aws:username
Przykłady użycia
Bucket publiczny.
Zezwól na listowanie obiektów oraz ich pobranie (również użytkownikowi anonimowemu). Bucket, do którego przypisana zostanie poniższa polityka będzie widoczny dla każdego, tj. dla wszystkich użytkowników Atman Object Storage oraz zapytań z sieci publicznej.
Zezwól na listowanie obiektów oraz ich pobranie (również użytkownikowi anonimowemu). Bucket, do którego przypisana zostanie poniższa polityka będzie widoczny dla każdego, tj. dla wszystkich użytkowników Atman Object Storage oraz zapytań z sieci publicznej.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": [
"s3:ListBucket",
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::przykladowy-bucket",
"arn:aws:s3:::przykladowy-bucket/*"
]
}
]
}Aplikowanie polityk
awscli
aws s3api put-bucket-policy --bucket przykladowy-bucket --policy file://plik.json --endpoint https://s3.atman.pls3cmd
s3cmd setpolicy policy.json s3://przykladowy-bucket