Перейти к основному содержимому
Управлять доступом в объектное хранилище
Последнее изменение:

Управлять доступом в объектное хранилище

Доступ к ресурсам объектного хранилища регулируется:

При получении запроса на действие в объектном хранилище сначала проверяется доступ по ролевой модели. Если ролевая модель разрешает доступ, проверяется политика доступа, если нет — доступ запрещается.

Для доступа через API или по FTP выдайте ключи.

Доступ в рамках ролевой модели

Объектное хранилище поддерживает ролевую модель:

  • Владелец аккаунта — имеет полный доступ ко всем проектам и управлению всеми ресурсами объектного хранилища и других продуктов в аккаунте через панель управления, а также управлению пользователями;
  • Администратор аккаунта — имеет полный доступ ко всем проектам и управлению всеми ресурсами объектного хранилища, кроме пользователей;
  • Администратор пользователей — может создавать пользователей и не имеет доступа к ресурсам объектного хранилища;
  • Администратор проекта — имеет полный доступ к управлению объектным хранилищем и другими продуктами в проекте, кроме управления пользователями;
  • Наблюдатель аккаунта — может просматривать ресурсы объектного хранилища и других продуктов во всех проектах;
  • Наблюдатель проекта — может просматривать ресурсы объектного хранилища и других продуктов в своем проекте;
  • Администратор объектного хранилища — имеет полный доступ к управлению объектным хранилищем в проекте без доступа к другим продуктам и управлению пользователями;
  • Пользователь объектного хранилища — по умолчанию не имеет доступа к просмотру и управлению ресурсами объектного хранилища. Он получает доступ к управлению объектами тех контейнеров, для которых настроена политика доступа, если правила политики разрешают доступ этому пользователю. Пользователю недоступно подключение по FTP.
Владелец аккаунтаАдминистратор аккаунтаАдминистратор пользователейАдминистратор проектаНаблюдатель аккаунтаНаблюдатель проекта
Просмотр списка контейнеров в панели управления(в рамках проекта)(в рамках проекта)
Чтение контейнеров в панели управления(в рамках проекта)(в рамках проекта)
Загрузка объектов в контейнер через панель управления(в рамках проекта)
Изменение настроек контейнера в панели управления(в рамках проекта)
Создание пользователей с доступом в объектное хранилище в панели управления
Выдача S3-ключей пользователям в панели управления
Подключение к хранилищу через инструменты
Настройка политики доступа в панели управления(в рамках проекта)
Доступ по FTP

Доступ в рамках политики доступа

Если роль пользователя предусматривает доступ к объектному хранилищу, доступ к конкретному контейнеру зависит от наличия и настроек политики доступа:

  • если политика доступа не создана, доступ будет разрешен всем пользователям с доступом в рамках ролевой модели, кроме роли Пользователь объектного хранилища;
  • если политика доступа создана, запрещено все, что не разрешено правилами политики.

Подробнее о работе политики доступа в разделе Политика доступа.

Ключи для доступа через API

Выдавать ключи для доступа к хранилищу через API можно только сервисным пользователям.

В зависимости от типа API пользователю понадобится:

Выдать S3-ключ

Выдавать S3-ключи (EC2-ключи) можно только сервисным пользователям с ролью с доступом в объектное хранилище.

к сведению

Выдать S3-ключ сервисному пользователю может только Владелец аккаунта или Администратор пользователей. Получить S3-ключ самостоятельно сервисный пользователь не может.

Для каждого проекта необходимо создавать отдельный ключ. На один проект можно выпустить несколько ключей.

  1. В панели управления перейдите в раздел Управление доступомУправление пользователями.

  2. Откройте вкладку Сервисные пользователи.

  3. Откройте страницу сервисного пользователя.

  4. В блоке S3 ключи нажмите Добавить ключ.

  5. Введите имя ключа.

  6. Выберите проект, для которого будет работать ключ.

  7. Нажмите Сгенерировать. Будет сгенерировано два значения:

    • Access key — Access Key ID, идентификатор ключа;
    • Secret key — Secret Access Key, секретный ключ.
  8. Нажмите Скопировать и сохраните ключ — после закрытия окна его нельзя будет просмотреть.