对象存储

产品文档

对象存储

访问管理实践

访问管理概述

访问控制(Identity and Access Management, IAM)是京东云提供的一项用户身份管理与资源访问控制服务。 IAM Policy是基于用户的授权策略。通过设置 IAM Policy,您可以集中管理您的用户(比如员工、系统或应用程序), 以及控制用户可以访问您名下哪些资源的权限。比如能够限制您的用户只拥有对某一个 Bucket 的读权限。 子账号是从属于主账号的,并且这些账号不能拥有任何实际资源,所有资源都属于主账号。

访问管理功能

  • 主账号资源的授权 可以将主账号的资源授权给其他人员,包括子账号或者是其它主账号,而不需要分享主账号相关的身份凭证(AK/SK)。
  • 主账号安全 可以通过授予与主账号相同的对于OSS的系统管理员权限(JDCloudOSSAdmin),保证主账号安全。
  • 精细化的权限管理 可以针对不同的资源为不同的人员授予不同的访问权限。例如,可以允许某些子账号拥有某个 OSS 存储空间的读权限,而另外一些子账号或者其他京东云主账号 可以拥有某个 OSS 存储空间中对象的写权限等。

访问管理应用场景

企业子账号权限管理

企业内不同岗位的员工需要拥有该企业云资源的最小化访问权限。

场景:某个企业拥有很多京东云资源,包括 VPC 实例、 CDN 实例、 OSS 存储空间和对象等。该企业同时拥有很多员工,包括开发人员、测试人员、运维人员等。 部分开发人员需要拥有其所在项目相关的开发机云资源的读写权限,测试人员需要拥有其所在项目的测试机云资源的读写权限,运维人员负责机器的购买和日常运营。 当企业员工人员变动、职责或参与项目发生变更,应将修改对应的权限,做好权限最小化管理。

不同企业之间的权限管理

不同企业间由于业务合作需要进行云资源的共享。

场景:某企业由于业务合作需要将云资源与其他企业分享,或者某企业拥有很多云资源时,该企业希望能专注产品研发,而将云资源运维工作授权给其他运营企业来实 施。当合作终止时,收回对应的管理权限。

访问管理策略语法 策略(policy)由若干元素构成,用来描述授权的具体信息。核心元素包括委托人(principal)、操作(action)、资源(resource)、 生效条件(condition)以及效力(effect)。如需了解更多,请查看基于IAM Policy的权限控制

IAM Policy示例

该样例描述为:允许属于主账号 ID 1234567890098 下的子账号 user1,拥有对OSS存储桶 bucketA与 bucketB下的前缀为test/对象读写对象的权限,以及消息队列(JCQ)管理员权限。

{
	"Statement": [{
		"Action": [
			"oss:PutObject",
			"oss:GetObject"
		],
		"Effect": "Allow",
		"Resource": [
			"jrn:oss:::bucketA/test/*",
			"jrn:oss:::bucketB/test/*"
		]
	}, {
		"Action": [
			"jcq:*"
		],
		"Effect": "Allow",
		"Resource": [
			"*"
		]
	}],
	"Version": "3"
}
更新时间:2019-06-26 19:28:23
文档反馈 docs feedback