ECS: Vain luku -muotoinen säilön käyttöoikeusluettelo muille kuin omistajaobjektin käyttäjille, jotka eivät pysty lataamaan ladattuja objekteja
요약: Tässä tietämyskannassa selitetään säilöjen käyttöoikeusluetteloiden (ACL) käsite ei-omistajaobjektin käyttäjälle vain luku -näkökulmasta S3-selaimessa.
이 문서는 다음에 적용됩니다.
이 문서는 다음에 적용되지 않습니다.
이 문서는 특정 제품과 관련이 없습니다.
모든 제품 버전이 이 문서에 나와 있는 것은 아닙니다.
증상
Ei-omistajaobjektin käyttäjä lisättiin säilöyn vain luku -tilassa säilön käyttöoikeusluettelon avulla.
Koska objekti ei ole säilön omistaja, objektin käyttäjä ei voi ladata objekteja, jotka objektisäilön omistajakäyttäjä on ladannut ennen säilön käyttöoikeusluettelon luomista.
Ongelman kulku on seuraava:
- Säilö luotiin objektin omistajan käyttäjää määritettäessä.
- Objektin omistajakäyttäjä on ladannut jotkin tiedostot säilöön.
- Ei-omistajaobjektin käyttäjä lisättiin säilöyn vain luku -tilassa säilön käyttöoikeusluettelon avulla.
- Yrittäessään käyttää säilöä muu kuin omistajaobjektin käyttäjä voi luetteloida ja ladata juuri ladattuja objekteja, mutta ei voi ladata objekteja, jotka on ladattu ennen vain luku -säilön käyttöoikeusluetteloa. Näemme, että objektien käyttöoikeuksia ei ole määritetty S3-selaimessa ECS-käyttöliittymän määritysten mukaisesti.
Virhe, kun ei-omistajaobjektin käyttäjä napsauttaa objektia S3-selaimella, on seuraava: (AccessDenied: Käyttö kielletty):
Seuraava on säilön käyttöoikeusluettelon asetukset objektin omistajakäyttäjälle (a_s3user) ja ei-omistajaobjektin käyttäjälle (a_s3test):
원인
S3-käyttöoikeudet voidaan määrittää säilö- tai objektitasolla. ECS noudattaa samoja periaatteita kuin AWS S3 – riippuen käytännön tyypistä. Se määrittää säilötasolla tai objektitasolla sallittujen toimintojen tyypin.
- Kun READ- ja READ-käyttöoikeusluettelo myönnetään ECS-säilön tasolla, ei-säilön omistaja näyttää luettelon vain säilön objekteista. Ei-säilön omistaja ei voi ladata tietoja säilöstä
- Kun objektia kirjoitetaan säilöön, vain objektin kirjoittavalla käyttäjällä on lukuoikeus. Jotta muut käyttäjät voivat lukea objekteja, omistajan on nimenomaisesti myönnettävä käyttäjille käyttöoikeus.
- Jos haluat myöntää luvan muille kuin säilön omistajille, meidän on käytettävä S3-säilökäytäntöjä
ACL-käyttöoikeudet, jotka voidaan määrittää, ovat seuraavassa taulukossa. Sovellettavat käyttöoikeudet määräytyvät säilön tyypin mukaan.
| KÄYTTÖOIKEUSLUETTELO | Käyttöoikeus | ||
|---|---|---|---|
| Read | Käyttäjä voi luetella säilön objektit | ||
| Lue ACL | Käyttäjä voi lukea säilön käyttöoikeusluettelon | ||
| Kirjoittaa | Käyttäjä voi luoda tai päivittää minkä tahansa säilön objektin | ||
| Kirjoita ACL. | Käyttäjä voi kirjoittaa säilön käyttöoikeusluettelon | ||
| Execute | Asettaa suoritusoikeuden, kun sitä käytetään tiedostojärjestelmänä – Tällä oikeudella ei ole vaikutusta, kun objektia käytetään ECS-objektiprotokollien avulla. | ||
| Täysi hallinta | Käyttäjä voi lukea, kirjoittaa, lukea käyttöoikeusluetteloita ja kirjoittaa käyttöoikeusluetteloita.
|
||
| Etuoikeutettu kirjoitus | Sallii käyttäjän kirjoittaa ryhmään tai objektiin, kun käyttäjällä ei ole normaalia kirjoitusoikeutta – vaaditaan CAS-säilöille | ||
| Poisto | Sallii käyttäjän poistaa säilöjä ja objekteja – tarvitaan CAS-säilöille | ||
| None | Käyttäjällä ei ole säilön käyttöoikeuksia. |
AWS tukee useita käytäntötyyppejä.
- Käytönvalvontaluettelot (ACL)
- Käyttäjätietoihin perustuvat käytännöt
- Käyttöoikeuksien rajat
- Resursseihin perustuvat politiikat
AWS-säilön käyttöoikeusluettelon viite
Seuraavassa taulukossa luetellaan käyttöoikeusjoukot, joita Amazon S3 tukee käyttöoikeusluettelossa. ACL-käyttöoikeuksien joukko on sama objektin käyttöoikeusluettelolle ja säilön käyttöoikeusluettelolle. Kontekstista (säilön käyttöoikeusluettelo tai objektin käyttöoikeusluettelo) riippuen nämä käyttöoikeusluettelo-oikeudet myöntävät kuitenkin oikeudet tietyille säilöille tai objektitoiminnoille. Taulukossa luetellaan käyttöoikeudet ja kuvataan, mitä ne tarkoittavat objektien ja säilöjen kontekstissa.
| Käyttöoikeus | Kun myönnetään ämpäriin | Kun esineelle myönnetään |
|---|---|---|
READ |
Käyttöoikeuden myöntäjä voi luetella säilössä olevat objektit | Sallii apurahansaajan lukea kohteen dataa ja sen metadataa |
WRITE |
Sallii käyttöoikeuden saajan luoda, korvata ja poistaa mitä tahansa säilön objektia | - |
READ_ACP |
Sallii apurahansaajan lukea säilön ACL:n | Sallii käyttöoikeuden myöntäjän lukea objektin ACL |
WRITE_ACP |
Käyttöoikeuden myöntäjä voi kirjoittaa kyseisen säilön käyttöoikeusluettelon | Sallii käyttöoikeuden myöntäjän kirjoittaa käyttöoikeusluettelon kyseiselle objektille |
FULL_CONTROL |
Sallii käyttöoikeuden saajalle säilön LUKU-, KIRJOITUS-, READ_ACP- ja WRITE_ACP-oikeudet | Sallii objektin luku-, READ_ACP- ja WRITE_ACP-käyttöoikeudet |
Amazon S3 -dokumentaatio
Seuraavassa taulukossa näkyy, miten kukin käyttöoikeusluettelon käyttöoikeus yhdistetään vastaaviin käyttöoikeuskäytännön käyttöoikeuksiin. Kuten näet, käyttöoikeuskäytäntö sallii enemmän käyttöoikeuksia kuin käyttöoikeusluettelo. ACL-luetteloita käytetään ensisijaisesti luku- ja kirjoitusoikeuksien myöntämiseen tiedostojärjestelmän käyttöoikeuksien tapaan. Lisätietoja käyttöoikeusluettelon käyttämisestä on ohjeaiheessa Käytettävissä olevien käyttöoikeuskäytäntöasetusten käyttöohjeet.
| ACL-lupa | Vastaavat käyttöoikeuskäytännön käyttöoikeudet, kun käyttöoikeusluettelo myönnetään säilössä | Vastaavat käyttöoikeuskäytännön käyttöoikeudet, kun objektille myönnetään käyttöoikeusluettelo |
|---|---|---|
READ |
s3:ListBucket, s3:ListBucketVersionsja s3:ListBucketMultipartUploads |
s3:GetObject, s3:GetObjectVersionja s3:GetObjectTorrent |
WRITE |
Lisäksi, kun apurahansaaja on säilön omistaja, |
- |
READ_ACP |
s3:GetBucketAcl |
s3:GetObjectAcl ja s3:GetObjectVersionAcl |
WRITE_ACP |
s3:PutBucketAcl |
s3:PutObjectAcl ja s3:PutObjectVersionAcl |
FULL_CONTROL |
Vastaa myöntämistä READ, WRITE, READ_ACPja WRITE_ACP ACL-käyttöoikeudet – Tämä käyttöoikeusluettelo yhdistetään vastaavien käyttöoikeuskäytännön käyttöoikeuksien yhdistelmään. |
Vastaa myöntämistä READ, READ_ACPja WRITE_ACP ACL-käyttöoikeudet. Tämä käyttöoikeusluettelo yhdistetään vastaavien käyttöoikeuskäytännön käyttöoikeuksien yhdistelmään. |
해결
Vaihtoehto 1:
Lisätietoja säilökäytäntöjen käyttämisestä on ECS:n tietojen käyttöoppaassa. Toisin kuin käyttöoikeusluettelot, jotka joko sallivat kaikki toiminnot tai eivät mitään, käyttöoikeuskäytännöt antavat tietyille käyttäjille tai kaikille käyttäjille ehdolliset ja yksityiskohtaiset oikeudet tiettyihin toimintoihin. Käytännön ehtojen avulla voidaan määrittää käyttöoikeuksia ehtoa vastaavalle objektialueelle. Tätä voidaan käyttää käyttöoikeuksien automaattiseen määrittämiseen juuri ladatuille objekteille.
Viite AWS S3:
https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectAcl.html
https://docs.aws.amazon.com/AmazonS3/latest/dev/example-bucket-policies.html
https://docs.aws.amazon.com/AmazonS3/latest/API/API_Operations.htmlKirjoita kohdassa UI-> Manage-Bucket>-> Edit bucket policy jotain tämän kaltaista käytäntöeditoriin:
{
"Version": "2012-10-17",
"Id": "Policy1593674317613",
"Statement": [
{
"Action": [
"s3:GetObject"
],
"Resource": "bucket_name/*",
"Effect": "Allow",
"Principal": "read-only_user",
"Sid": "Stmt1593673962638"
}
]
} Jos toiminta: "S3:GetObject" on toiminto, joka sallitaan objektien lataamiseen.
Missä vaikutus: "Salli"
missä resurssi": "bucket_name/*" on säilön nimi.
jossa päämies": "read-only_user" on ei-säilön omistajakäyttäjä.
Vaihtoehto 2:
Kun käytät S3-selainta objektin omistajan kanssa, muuta todennettujen käyttäjien oikeuksia objekteille, jotka on ladattu ennen vain luku -säilön käyttöoikeusluetteloa, jotta muu kuin omistajaobjektin käyttäjä voi ladata objektin:
추가 정보
Jos objektin lataamisessa objektin omistajan kautta ilmenee ongelmia eikä käyttöoikeuksia sovelleta todennettuihin käyttäjiin, joilla on kirjoitusoikeudet, tutustu tietokannan artikkeliin 520711
해당 제품
ECS Appliance제품
ECS Appliance, ECS Appliance Hardware Gen1 U-Series, ECS Appliance Software with Encryption, ECS Appliance Software without Encryption문서 속성
문서 번호: 000070218
문서 유형: Solution
마지막 수정 시간: 10 9월 2025
버전: 5
다른 Dell 사용자에게 질문에 대한 답변 찾기
지원 서비스
디바이스에 지원 서비스가 적용되는지 확인하십시오.