Перейти к основному содержимому

Управлять доступом в S3

Последнее изменение:

Доступ к ресурсам S3 регулируется:

При получении запроса на действие в S3 сначала проверяется доступ пользователя по ролевой модели. Если ролевая модель разрешает доступ пользователю, проверяется политика доступа, если нет — доступ запрещается.

Для доступа через API или по FTP выдайте ключи.

Доступ в рамках ролевой модели

Подробнее о доступе в рамках ролевой модели в инструкции Управление доступом в продуктах Selectel.

member

Пользователь с полным доступом ко всем сервисам. Недоступно управление доступом: пользователями, сервисными пользователями, группами пользователей и федерациями.

Области доступа
  • Аккаунт;
  • Проект
Кому можно назначить
  • Пользователям;
  • сервисным пользователям;
  • группам пользователей
Доступные операции и ресурсы в S3

В области доступа Аккаунт:

  • управление S3 во всех проектах:
    • просмотр списка бакетов во всех проектах аккаунта;
    • просмотр содержимого бакетов во всех проектах аккаунта;
    • управление объектами в бакетах (загружать, удалять и т. п.) во всех проектах аккаунта;
    • изменение настроек бакетов во всех проектах аккаунта;
    • настройка политик доступа к бакетам во всех проектах аккаунта;
    • управление проектами, их лимитами и квотами;
    • управление биллингом
  • управление проектами, их лимитами и квотами;
  • управление биллингом

В области доступа Проект:

  • управление S3 в  выбранном проекте:
    • просмотр списка бакетов;
    • просмотр содержимого бакетов;
    • управление объектами в бакете (загрузка, удаление и т. п.);
    • изменение настроек бакетов

billing

Пользователь с доступом к управлению биллингом и без доступа к управлению услугами.

Области доступаАккаунт
Кому можно назначить
  • Пользователям;
  • сервисным пользователям;
  • группам пользователей
Доступные операции и ресурсы в S3
  • Управление биллингом;
  • просмотр потребления S3

iam_admin

Пользователь с доступом к управлению пользователями и без доступа к услугам и биллингу. Не может управлять своей учетной записью: изменять разрешения, управлять уведомлениями, удалять пользователя. Первого пользователя с ролью iam_admin создает Владелец аккаунта.

Области доступаАккаунт
Кому можно назначить
  • Пользователям;
  • сервисным пользователям;
  • группам пользователей
Доступные операции и ресурсы в S3

reader

Пользователь с доступом к просмотру всего, чем управляет member в той же области доступа.

Области доступа
  • Аккаунт;
  • Проект
Кому можно назначить
  • Пользователям;
  • сервисным пользователям;
  • группам пользователей
Доступные операции и ресурсы в S3

В области доступа Аккаунт:

  • просмотр списка бакетов во всех проектах;
  • просмотр содержимого бакетов во всех проектах аккаунта;
  • просмотр настроек всех проектов, их лимитов и квот
  • просмотр данных биллинга (баланса, банковских карт, отчетных документов, партнерской программы и т. п.)

В области доступа Проект:

  • просмотр списка бакетов выбранного проекта;
  • просмотр содержимого бакетов в выбранном проекте

object_storage:admin

Пользователь с полным доступом к управлению S3 в рамках проекта. Не имеет доступа к S3 в других проектах и другим продуктам в своем проекте.

Области доступаПроект
Кому можно назначить
  • Сервисным пользователям;
  • группам пользователей
Доступные операции и ресурсы в S3
  • Просмотр списка бакетов в проекте;
  • просмотр содержимого бакетов;
  • управление объектами в бакете (загрузка, изменение, удаление и т. п.);
  • изменение настроек бакетов;
  • настройка политики доступа к бакету

object_storage_user

Пользователь с доступом в бакет S3, если в нем настроена политика доступа, которая разрешает доступ к бакету этому пользователю. Степень доступа определяется настройками политики доступа. Не имеет доступа к S3 в других проектах и другим продуктам в своем проекте.

Области доступаПроект
Кому можно назначить
  • Сервисным пользователям;
  • группам пользователей
Доступные операции и ресурсы в S3
  • Просмотр списка бакетов в проекте;
  • операции в бакете, которые разрешены политикой доступа.

Доступ в рамках политики доступа

Если роль пользователя предусматривает доступ к S3, доступ к конкретному бакету зависит от наличия и настроек политики доступа:

  • если политика доступа не создана, доступ будет разрешен всем пользователям с доступом в рамках ролевой модели, кроме роли object_storage_user;
  • если политика доступа создана, запрещено все, что не разрешено правилами политики.

Подробнее о работе политики доступа в разделе Политика доступа.

Ключи для доступа через API

В зависимости от типа API пользователю понадобится:

Выдать S3-ключ пользователю

к сведению

S3-ключ (EC2-ключ) нужно выдавать пользователю, которому разрешен доступ в S3 в рамках ролевой модели. Если роль пользователя не разрешает доступ в S3, S3-ключ бесполезен.

Пользователи с доступом в панель управления могут выдавать себе S3-ключи, но мы рекомендуем создавать сервисных пользователей и выдавать S3-ключи им.

Выдавать S3-ключи другим пользователям может только Владелец аккаунта или пользователь с ролью iam_admin. Сервисный пользователь не может получить S3-ключ самостоятельно, потому что у него нет доступа в панель управления — ему должен выдать ключ Владелец аккаунта или iam_admin.

Для каждого проекта необходимо создавать отдельный ключ. На один проект можно выпустить несколько ключей.

  1. В панели управления в верхнем меню нажмите Аккаунт.

  2. Перейдите в раздел с нужным типом пользователей:

  3. Откройте страницу пользователя → вкладка Доступ .

  4. В блоке S3-ключи нажмите Добавить ключ.

  5. Введите имя ключа.

  6. Выберите проект, для которого будет работать ключ.

  7. Нажмите Сгенерировать. Будет сгенерировано два значения:

    • Access key — Access Key ID, идентификатор ключа;
    • Secret key — Secret Access Key, секретный ключ.

  8. Нажмите Скопировать и сохраните ключ — после закрытия окна его нельзя будет просмотреть.