Перейти к основному содержимому
Управлять доступом в объектное хранилище
Последнее изменение:

Управлять доступом в объектное хранилище

Доступ к ресурсам объектного хранилища регулируется:

При получении запроса на действие в объектном хранилище сначала проверяется доступ по ролевой модели. Если ролевая модель разрешает доступ, проверяется политика доступа, если нет — доступ запрещается.

Для доступа через API или по FTP выдайте ключи.

Доступ в рамках ролевой модели

Объектное хранилище поддерживает ролевую модель:

  • Владелец аккаунта — имеет полный доступ ко всем проектам и управлению всеми ресурсами объектного хранилища и других продуктов в аккаунте через панель управления, а также управлению пользователями;
  • Администратор аккаунта — имеет полный доступ ко всем проектам и управлению всеми ресурсами объектного хранилища, кроме пользователей;
  • Администратор пользователей — может создавать пользователей и не имеет доступа к ресурсам объектного хранилища;
  • Администратор проекта — имеет полный доступ к управлению объектным хранилищем и другими продуктами в проекте, кроме управления пользователями;
  • Наблюдатель аккаунта — может просматривать ресурсы объектного хранилища и других продуктов во всех проектах;
  • Наблюдатель проекта — может просматривать ресурсы объектного хранилища и других продуктов в своем проекте;
  • Администратор объектного хранилища — имеет полный доступ к управлению объектным хранилищем в проекте без доступа к другим продуктам и управлению пользователями;
  • Пользователь объектного хранилища — по умолчанию не имеет доступа к просмотру и управлению ресурсами объектного хранилища. Он получает доступ к управлению объектами тех контейнеров, для которых настроена политика доступа, если правила политики разрешают доступ этому пользователю.
Владелец аккаунтаАдминистратор аккаунтаАдминистратор пользователейАдминистратор проектаНаблюдатель аккаунтаНаблюдатель проекта
Просмотр списка контейнеров в панели управления(в рамках проекта)(в рамках проекта)
Чтение контейнеров в панели управления(в рамках проекта)(в рамках проекта)
Загрузка объектов в контейнер через панель управления(в рамках проекта)
Изменение настроек контейнера в панели управления(в рамках проекта)
Создание пользователей с доступом в объектное хранилище в панели управления
Выдача S3-ключей пользователям в панели управления
Подключение к хранилищу через инструменты
Настройка политики доступа в панели управления(в рамках проекта)

Доступ в рамках политики доступа

Если роль пользователя предусматривает доступ к объектному хранилищу, доступ к конкретному контейнеру зависит от наличия и настроек политики доступа:

  • если политика доступа не создана, доступ будет разрешен всем пользователям с доступом в рамках ролевой модели, кроме роли Пользователь объектного хранилища;
  • если политика доступа создана, запрещено все, что не разрешено правилами политики.

Подробнее о работе политики доступа в разделе Политика доступа.

Ключи для доступа через API

Выдавать ключи для доступа к хранилищу через API можно только сервисным пользователям.

В зависимости от типа API пользователю понадобится:

Выдать S3-ключ

Выдавать S3-ключи (EC2-ключи) можно только сервисным пользователям с ролью с доступом в объектное хранилище.

к сведению

Выдать S3-ключ сервисному пользователю может только Владелец аккаунта или Администратор пользователей. Получить S3-ключ самостоятельно сервисный пользователь не может.

Для каждого проекта необходимо создавать отдельный ключ. На один проект можно выпустить несколько ключей.

  1. В панели управления перейдите в раздел Управление доступомУправление пользователями.

  2. Откройте вкладку Сервисные пользователи.

  3. Откройте страницу сервисного пользователя.

  4. В блоке S3 ключи нажмите Добавить ключ.

  5. Введите имя ключа.

  6. Выберите проект, для которого будет работать ключ.

  7. Нажмите Сгенерировать. Будет сгенерировано два значения:

    • Access key — Access Key ID, идентификатор ключа;
    • Secret key — Secret Access Key, секретный ключ.
  8. Нажмите Скопировать и сохраните ключ — после закрытия окна его нельзя будет просмотреть.