IBM Cloud Docs
使用用户界面限制访问单个 Object Storage 桶

使用用户界面限制访问单个 Object Storage 桶

IBM Cloud IAM 资源组和访问策略允许管理员限制用户对各种服务实例的访问。 但是,如果您正在使用 IBM Cloud 用户界面,并且只需要访问服务实例中数量有限的存储桶,该怎么办? 这可以通过自定义角色和狭义的 IAM 策略来实现。

本教程介绍如何为需要使用 IBM Cloud用户界面访问单个 Object Storage 存储桶的用户授予对该存储桶的访问权限。

如果您对 IBM Cloud® Object Storage 不熟悉,可以通过 从 IBM Cloud Object Storage 开始快速了解。 此外,如果您不熟悉 IAM,不妨查看如何 开始使用 IAM

准备工作

如果您已经在管理 Object Storage 或 IAM 的实例,则无需创建更多实例。 但是,由于本教程将修改和配置您正在使用的实例,请确保任何账户或服务都不会在生产环境中使用。

本教程将在此过程中创建一个新的访问策略和一个新的自定义角色。

本教程需要

  • 一个 IBM Cloud® 平台账户
  • IBM Cloud Object Storage 的实例。 如果没有 COS 实例,可以创建一个。 在本教程中,将实例命名为 COS-BUCKET-LIMIT-EX
  • 限制用户使用的水桶。 如果您为本教程创建了一个新实例,请在创建 COS 实例后创建几个存储桶。 本教程将介绍如何仅对 COS 服务实例中的一个存储桶提供访问。
  • 要完成管理服务访问的步骤,您的用户 ID 需要 管理员平台权限 来配置 IAM 策略。 您可能需要与账户管理员联系或合作。

为个人用户提供桶级访问权限

  1. 创建自定义 COS 服务角色(例如,将其称为 COS ListBucketsInAccount),并将操作 cloud-object-storage.account.get_account_buckets 指派给该自定义角色。

  2. 例如,创建一个 IAM 访问组 并将其称为 BUCKET_ACCESS_GROUP_1

  3. 在该新访问组中,为实例 COS-BUCKET-LIMIT-EX 创建实例级访问策略,并分配平台角色 Viewer 和刚刚创建的自定义角色 COS ListBucketsInAccount

  4. 在同一访问组中,为实例中的一个桶创建桶级访问策略,并分配 COS 服务角色 Content ReaderObject Writer

    您需要的访问级别将决定您指定的角色。 此示例用于最小对象列表,并在一个桶中上传和下载。 有关更多信息,请参阅:为单个存储桶分配访问权限

  5. 邀请用户使用账户

  6. 用户接受账户邀请后,将其添加到访问组 BUCKET_ACCESS_GROUP_1 中。

  7. 现在,当用户登录时,如果他们已经是其他 IBM Cloud® 账户的成员,请确保他们在控制台页眉的账户选择器中选择正确的 IBM Cloud® 账户。

  8. 一旦用户在账户选择器中选择了正确的账户,用户在控制台资源视图中就只能看到一个 COS 实例,即 COS-BUCKET-LIMIT-EX

  9. 选择实例。

两个存储桶都会被列出,但用户只能列出他们被授予访问权限的存储桶中的对象,并根据您提供的访问权限,从该存储桶下载对象或将对象上传到该存储桶。

用户可以选择另一个桶,但不能列出对象,不能下载对象,也不能上传到另一个桶,等等。

后续步骤

恭喜您,您刚刚设置了一个策略,当用户必须使用 IBM Cloud 用户界面进行访问时,可将其访问限制在单个存储桶中。