Как совместно работают права пользователя и подпользователя Ceph S3?

У меня есть следующая конфигурация пользователя:

namespace: s3test
user:      s3test
  subuser:   backup (set up with s3 credentials instead of swift)

Я хочу определить политику ведра, которая явно запрещает пользователю резервного копирования помещать в ведро с именем hedgehogs, которое было создано пользователем s3test:

{
        "Version": "2012-10-17",
        "Statement": [
            {
                "Sid": "DenyPutToHedgehogsForBackup",
                "Effect": "Deny",
                "Principal": {
                    "CanonicalUser": "s3test:backup"
                },
                "Action": ["s3:PutObject"],
                "Resource": [
                    "arn:aws:s3:::hedgehogs/*"
                ]
            }
        ]
}

Однако это, похоже, не позволяет s3test и s3test:backup помещать в hedgehogs.

Что-то не так с синтаксисом моей политики или это означает, что подпользователи, настроенные с учетными данными s3, — это просто еще один способ доступа к s3 с разрешениями основного пользователя?


ceph amazon-s3 radosgw
person Thurse    schedule 29.10.2020    source источник

Ответы (1)


arrow_upward
1
arrow_downward

Ваша политика корзины должна быть такой:

{
  "Version": "2012-10-17",
  "Statement": [{
    "Effect": "Deny",
    "Principal": {"AWS": ["arn:aws:iam:::user/s3test:backup"]},
    "Action": "s3:PutObject",
    "Resource": [
      "arn:aws:s3:::hedgehogs/*"
    ]
  }]
}
person Seena Fallah    schedule 05.11.2020
comment
@Thurse, ты же не хочешь блокировать доступ к корзине для резервного подпользователя?! - person Seena Fallah; 09.11.2020
comment
Да, верно, мой первоначальный комментарий был bs. Тем не менее, кажется, что политика доступа для swift имеет значение. Если я создаю подпользователя swift с полным доступом и создаю для него ключи s3, отказ подпользователя backup с указанной выше политикой также блокирует s3test. - person Thurse; 09.11.2020
comment
@Thurse Какую версию ceph вы используете? Вы должны использовать nautilus 14.2.10 выше! - person Seena Fallah; 10.11.2020
comment
Ааа, мы на 14.2.8. Я не могу это изменить. Откуда у вас информация, что он работает только в 14.2.10 и выше? - person Thurse; 11.11.2020
comment
@Thurse, вы можете увидеть журнал изменений для поддержки политики корзины для субпользователя здесь, в nautilus 14.2.10. docs.ceph.com/en/latest/releases/nautilus - person Seena Fallah; 12.11.2020
comment
Спасибо! Поскольку пока неясно, когда в нашей компании будет развернута версия 14.2.10, я буду придерживаться классического подхода, создавая обычных пользователей S3 в одном пространстве имен. - person Thurse; 12.11.2020