IAM 入门
帐户中的用户对 IBM Cloud® Object Storage 服务实例的访问权由 IBM Cloud Identity and Access Management (IAM) 来控制。
Identity and Access Management 作用
对于访问您帐户中 IBM Cloud® Object Storage 服务的每个用户,必须向其分配定义了 IAM 用户角色的访问策略。 该策略确定用户可在您所选服务或实例的上下文中执行的操作。 允许的操作由 IBM Cloud 服务进行定制,并定义为允许在服务上执行的操作。 然后,这些操作将映射到 IAM 用户角色。
策略支持在不同级别授予访问权。 部分选项包括:
- 对帐户中所有服务实例的访问权
- 对帐户中单个服务实例的访问权
- 对实例中特定存储区的访问权 (请参阅 存储区许可权)
- 对帐户中所有启用 IAM 的服务的访问权
- 访问存储区中的特定对象或对象组
在定义访问策略的作用域后,可以分配角色。 请查看以下各表,其中概述每个角色在 Object Storage 服务中允许执行的操作。
下表详细描述了映射到平台管理角色的操作。 平台管理角色支持用户在平台级别对服务资源执行任务,例如,分配服务的用户访问权、创建或删除服务标识、创建实例以及将实例绑定到应用程序。
| 平台管理角色 | 操作描述 | 操作示例 |
|---|---|---|
| 查看者 | 查看服务实例,但不能对其进行修改 |
|
| 编辑者 | 执行除管理帐户和分配访问策略之外的其他所有平台操作 |
|
| 运算符 | COS 未使用 | 无 |
| 管理员 | 根据分配给此角色的资源执行所有平台操作,包括将访问策略分配给其他用户,以及在存储区上设置 PublicAccess 策略。 |
|
下表详细描述了映射到服务访问角色的操作。 通过服务访问角色,用户可以访问 Object Storage,并且有能力调用 Object Storage API。
| 服务访问角色 | 操作描述 | 操作示例 |
|---|---|---|
| 对象写程序 | 上载和覆盖对象 (包括上载多个部分中的对象)。 |
|
| 对象写程序 | 上载和覆盖对象 (包括上载多个部分中的对象)。 |
|
| 对象阅读器 | 下载对象,读取对象元数据 (头),但不列出对象或存储区。 |
|
| 内容读取者 | 下载并列示对象,读取对象元数据 (头),但不列示存储区。 |
|
| 读者 | 除了“内容阅读器”操作外,“读者”还可以列出存储区和读取存储区元数据,但不能进行修改。 |
|
| 写入者 | 除了可执行“读取者”操作外,“写入者”还可以创建存储区和上传对象。 |
|
| 管理者 | 除了可执行“写入者”操作外,“管理者”还可以完成影响访问控制的特权操作。 |
|
有关在 UI 中分配用户角色的信息,请参阅管理 IAM 访问权。
Identity and Access Management 行动
| 操作标识 | 描述 | 支持的条件属性 |
|---|---|---|
cloud-object-storage.account.get_account_buckets |
列出服务实例中的所有存储桶。 | 无 |
cloud-object-storage.account.list_account_backup_vaults |
列出服务实例中的所有备份库。 | 无 |
cloud-object-storage.bucket.put_bucket |
创建存储区。 | 无 |
cloud-object-storage.bucket.post_bucket |
仅供内部使用-用户不受支持。 | 无 |
cloud-object-storage.bucket.delete_bucket |
删除存储区。 | 无 |
cloud-object-storage.bucket.get |
列出存储区中的所有对象。 | 前缀,定界符 |
cloud-object-storage.bucket.list_crk_id |
列出与存储区关联的加密根密钥的标识。 | 无 |
cloud-object-storage.bucket.head |
查看存储区元数据。 | 无 |
cloud-object-storage.bucket.get_versions |
列出对象版本。 | 前缀,定界符 |
cloud-object-storage.bucket.get_uploads |
列出水桶的所有活动多部分上传。 | 前缀,定界符 |
cloud-object-storage.bucket.put_quota |
不受支持的操作-仅用于 S3 API 兼容性。 | 无 |
cloud-object-storage.bucket.get_acl |
读取存储区 ACL [不推荐]。 | 无 |
cloud-object-storage.bucket.put_acl |
创建存储区 ACL [不推荐]。 | 无 |
cloud-object-storage.bucket.get_cors |
读取 CORS 规则。 | 无 |
cloud-object-storage.bucket.put_cors |
将 CORS 规则添加到存储区。 | 无 |
cloud-object-storage.bucket.delete_cors |
删除 CORS 规则。 | 无 |
cloud-object-storage.bucket.get_website |
读取存储区 Web 站点配置。 | 无 |
cloud-object-storage.bucket.put_website |
添加存储区 Web 站点配置。 | 无 |
cloud-object-storage.bucket.delete_website |
删除存储区 Web 站点配置。 | 无 |
cloud-object-storage.bucket.get_versioning |
检查存储区的版本控制状态。 | 无 |
cloud-object-storage.bucket.put_versioning |
在存储区上启用版本控制。 | 无 |
cloud-object-storage.bucket.get_object_lock_configuration |
从存储区获取对象锁定配置。 | 无 |
cloud-object-storage.bucket.put_object_lock_configuration |
从存储区设置对象锁定配置。 | 无 |
cloud-object-storage.bucket.get_fasp_connection_info |
查看 Aspera FASP 连接信息。 | 无 |
cloud-object-storage.account.delete_fasp_connection_info |
删除 Aspera FASP 连接信息。 | 无 |
cloud-object-storage.bucket.get_location |
查看存储区的位置和存储类。 | 无 |
cloud-object-storage.bucket.get_lifecycle |
读取存储区生命周期策略。 | 无 |
cloud-object-storage.bucket.put_lifecycle |
创建水桶生命周期策略。 | 无 |
cloud-object-storage.bucket.get_basic |
使用资源配置 API 读取存储区元数据 (对象数等)。 | 无 |
cloud-object-storage.bucket.get_activity_tracking |
读取活动跟踪配置。 | 无 |
cloud-object-storage.bucket.put_activity_tracking |
添加活动跟踪配置。 | 无 |
cloud-object-storage.bucket.get_metrics_monitoring |
读取度量值监视配置。 | 无 |
cloud-object-storage.bucket.put_metrics_monitoring |
添加度量值监视配置。 | 无 |
cloud-object-storage.bucket.put_protection |
添加不可变 Object Storage 策略。 | 无 |
cloud-object-storage.bucket.get_protection |
读取不可改变的 Object Storage 策略。 | 无 |
cloud-object-storage.bucket.put_firewall |
添加防火墙配置。 | 无 |
cloud-object-storage.bucket.get_firewall |
读取防火墙配置。 | 无 |
cloud-object-storage.bucket.put_public_access_block |
添加/更新存储区的公共访问块配置。 | 无 |
cloud-object-storage.bucket.delete_public_access_block |
移除某个水桶的公共访问区块配置。 | 无 |
cloud-object-storage.bucket.get_public_access_block |
读取某个水桶的公共访问区块配置。 | 无 |
cloud-object-storage.bucket.list_bucket_crn |
查看存储区 CRN。 | 无 |
cloud-object-storage.bucket.get_notifications |
仅供内部使用-用户不受支持。 | 无 |
cloud-object-storage.bucket.put_notifications |
仅供内部使用-用户不受支持。 | 无 |
cloud-object-storage.bucket.get_replication |
读取存储区的复制配置。 | 无 |
cloud-object-storage.bucket.put_replication |
将复制配置添加到存储区。 | 无 |
cloud-object-storage.bucket.delete_replication |
删除存储区的复制配置。 | 无 |
cloud-object-storage.object.get |
查看和下载对象。 | 路径 |
cloud-object-storage.object.head |
读取对象的元数据。 | 路径 |
cloud-object-storage.object.get_version |
读取对象的指定版本。 | 路径 |
cloud-object-storage.object.head_version |
获取对象的特定版本的头。 | 路径 |
cloud-object-storage.object.put |
写入和上载对象。 | 路径 |
cloud-object-storage.object.post |
使用 HTML 表单上载对象 [不推荐]。 | 路径 |
cloud-object-storage.object.post_md |
使用 HTML 表单更新对象元数据 [不推荐]。 | 路径 |
cloud-object-storage.object.post_initiate_upload |
启动多重部件上载。 | 路径 |
cloud-object-storage.object.put_part |
上载对象部件。 | 路径 |
cloud-object-storage.object.copy_part |
复制 (写入) 对象部件。 | 路径 |
cloud-object-storage.object.copy_part_get |
复制 (读取) 对象部件。 | 路径 |
cloud-object-storage.object.copy_part_get_version |
复制 (读取) 对象部件。 | 路径 |
cloud-object-storage.object.post_complete_upload |
完成多重部件上载。 | 路径 |
cloud-object-storage.object.copy |
将一个对象从一个桶复制(写入)到另一个桶。 | 路径 |
cloud-object-storage.object.copy_get |
从一个桶复制(读取)一个对象到另一个桶。 | 路径 |
cloud-object-storage.object.copy_get_version |
从一个桶复制(读取)一个对象到另一个桶。 | 路径 |
cloud-object-storage.object.get_acl |
读取对象 ACL [不推荐]。 | 路径 |
cloud-object-storage.object.get_acl_version |
读取对象 ACL 版本 [不推荐] | 路径 |
cloud-object-storage.object.put_acl |
写入对象 ACL [不推荐]。 | 路径 |
cloud-object-storage.object.put_acl_version |
不受支持的操作-仅用于 S3 API 兼容性。 | 路径 |
cloud-object-storage.object.delete |
删除对象。 | 路径 |
cloud-object-storage.object.delete_version |
删除对象的特定版本。 | 路径 |
cloud-object-storage.object.get_uploads |
列出物体的各个部分。 | 路径 |
cloud-object-storage.object.delete_upload |
异常中止多重部件上载。 | 路径 |
cloud-object-storage.object.restore |
临时恢复存档对象。 | 路径 |
cloud-object-storage.object.restore_version |
临时恢复存档对象。 | 路径 |
cloud-object-storage.object.get_tagging |
读取对象标记版本 | 路径 |
cloud-object-storage.object.put_tagging |
添加/更新对象标记 | 路径 |
cloud-object-storage.object.delete_tagging |
删除对象标记 | 路径 |
cloud-object-storage.object.post_multi_delete |
删除多个对象。 | 无 |
cloud-object-storage.object.post_legal_hold |
向对象添加合法保留。 | 路径 |
cloud-object-storage.object.get_legal_hold |
查看对象上的任何合法保留。 | 路径 |
cloud-object-storage.object.post_extend_retention |
扩展保留时间策略。 | 路径 |
cloud-object-storage.object.get_object_lock_retention |
获取对象上的对象锁定保留时间设置。 | 路径 |
cloud-object-storage.object.put_object_lock_retention |
在对象上设置对象锁定保留时间设置。 | 路径 |
cloud-object-storage.object.get_object_lock_legal_hold |
获取对象上的对象锁定合法挂起状态。 | 路径 |
cloud-object-storage.object.put_object_lock_legal_hold |
在对象上设置对象锁定合法挂起状态。 | 路径 |
cloud-object-storage.object.get_object_lock_retention_version |
获取对象上的对象锁定保留时间版本设置。 | 路径 |
cloud-object-storage.object.put_object_lock_retention_version |
在对象上设置对象锁定保留时间版本设置。 | 路径 |
cloud-object-storage.object.get_object_lock_legal_hold_version |
获取对象上的对象锁定合法挂起状态。 | 路径 |
cloud-object-storage.object.put_object_lock_legal_hold_version |
在对象上设置对象锁定合法挂起状态。 | 路径 |
cloud-object-storage.object.put_tagging_version |
添加/更新对象标记版本 | 路径 |
cloud-object-storage.object.get_tagging_version |
读取对象标记版本 | 路径 |
cloud-object-storage.object.delete_tagging_version |
删除对象标记版本 | 路径 |