ECS: Vain luku -muotoinen säilön käyttöoikeusluettelo muille kuin omistajaobjektin käyttäjille, jotka eivät pysty lataamaan ladattuja objekteja
摘要: Tässä tietämyskannassa selitetään säilöjen käyttöoikeusluetteloiden (ACL) käsite ei-omistajaobjektin käyttäjälle vain luku -näkökulmasta S3-selaimessa.
本文章適用於
本文章不適用於
本文無關於任何特定產品。
本文未識別所有產品版本。
症狀
Ei-omistajaobjektin käyttäjä lisättiin säilöyn vain luku -tilassa säilön käyttöoikeusluettelon avulla.
Koska objekti ei ole säilön omistaja, objektin käyttäjä ei voi ladata objekteja, jotka objektisäilön omistajakäyttäjä on ladannut ennen säilön käyttöoikeusluettelon luomista.
Ongelman kulku on seuraava:
- Säilö luotiin objektin omistajan käyttäjää määritettäessä.
- Objektin omistajakäyttäjä on ladannut jotkin tiedostot säilöön.
- Ei-omistajaobjektin käyttäjä lisättiin säilöyn vain luku -tilassa säilön käyttöoikeusluettelon avulla.
- Yrittäessään käyttää säilöä muu kuin omistajaobjektin käyttäjä voi luetteloida ja ladata juuri ladattuja objekteja, mutta ei voi ladata objekteja, jotka on ladattu ennen vain luku -säilön käyttöoikeusluetteloa. Näemme, että objektien käyttöoikeuksia ei ole määritetty S3-selaimessa ECS-käyttöliittymän määritysten mukaisesti.
Virhe, kun ei-omistajaobjektin käyttäjä napsauttaa objektia S3-selaimella, on seuraava: (AccessDenied: Käyttö kielletty):
Seuraava on säilön käyttöoikeusluettelon asetukset objektin omistajakäyttäjälle (a_s3user) ja ei-omistajaobjektin käyttäjälle (a_s3test):
原因
S3-käyttöoikeudet voidaan määrittää säilö- tai objektitasolla. ECS noudattaa samoja periaatteita kuin AWS S3 – riippuen käytännön tyypistä. Se määrittää säilötasolla tai objektitasolla sallittujen toimintojen tyypin.
- Kun READ- ja READ-käyttöoikeusluettelo myönnetään ECS-säilön tasolla, ei-säilön omistaja näyttää luettelon vain säilön objekteista. Ei-säilön omistaja ei voi ladata tietoja säilöstä
- Kun objektia kirjoitetaan säilöön, vain objektin kirjoittavalla käyttäjällä on lukuoikeus. Jotta muut käyttäjät voivat lukea objekteja, omistajan on nimenomaisesti myönnettävä käyttäjille käyttöoikeus.
- Jos haluat myöntää luvan muille kuin säilön omistajille, meidän on käytettävä S3-säilökäytäntöjä
ACL-käyttöoikeudet, jotka voidaan määrittää, ovat seuraavassa taulukossa. Sovellettavat käyttöoikeudet määräytyvät säilön tyypin mukaan.
| KÄYTTÖOIKEUSLUETTELO | Käyttöoikeus | ||
|---|---|---|---|
| Read | Käyttäjä voi luetella säilön objektit | ||
| Lue ACL | Käyttäjä voi lukea säilön käyttöoikeusluettelon | ||
| Kirjoittaa | Käyttäjä voi luoda tai päivittää minkä tahansa säilön objektin | ||
| Kirjoita ACL. | Käyttäjä voi kirjoittaa säilön käyttöoikeusluettelon | ||
| Execute | Asettaa suoritusoikeuden, kun sitä käytetään tiedostojärjestelmänä – Tällä oikeudella ei ole vaikutusta, kun objektia käytetään ECS-objektiprotokollien avulla. | ||
| Täysi hallinta | Käyttäjä voi lukea, kirjoittaa, lukea käyttöoikeusluetteloita ja kirjoittaa käyttöoikeusluetteloita.
|
||
| Etuoikeutettu kirjoitus | Sallii käyttäjän kirjoittaa ryhmään tai objektiin, kun käyttäjällä ei ole normaalia kirjoitusoikeutta – vaaditaan CAS-säilöille | ||
| Poisto | Sallii käyttäjän poistaa säilöjä ja objekteja – tarvitaan CAS-säilöille | ||
| None | Käyttäjällä ei ole säilön käyttöoikeuksia. |
AWS tukee useita käytäntötyyppejä.
- Käytönvalvontaluettelot (ACL)
- Käyttäjätietoihin perustuvat käytännöt
- Käyttöoikeuksien rajat
- Resursseihin perustuvat politiikat
AWS-säilön käyttöoikeusluettelon viite
Seuraavassa taulukossa luetellaan käyttöoikeusjoukot, joita Amazon S3 tukee käyttöoikeusluettelossa. ACL-käyttöoikeuksien joukko on sama objektin käyttöoikeusluettelolle ja säilön käyttöoikeusluettelolle. Kontekstista (säilön käyttöoikeusluettelo tai objektin käyttöoikeusluettelo) riippuen nämä käyttöoikeusluettelo-oikeudet myöntävät kuitenkin oikeudet tietyille säilöille tai objektitoiminnoille. Taulukossa luetellaan käyttöoikeudet ja kuvataan, mitä ne tarkoittavat objektien ja säilöjen kontekstissa.
| Käyttöoikeus | Kun myönnetään ämpäriin | Kun esineelle myönnetään |
|---|---|---|
READ |
Käyttöoikeuden myöntäjä voi luetella säilössä olevat objektit | Sallii apurahansaajan lukea kohteen dataa ja sen metadataa |
WRITE |
Sallii käyttöoikeuden saajan luoda, korvata ja poistaa mitä tahansa säilön objektia | - |
READ_ACP |
Sallii apurahansaajan lukea säilön ACL:n | Sallii käyttöoikeuden myöntäjän lukea objektin ACL |
WRITE_ACP |
Käyttöoikeuden myöntäjä voi kirjoittaa kyseisen säilön käyttöoikeusluettelon | Sallii käyttöoikeuden myöntäjän kirjoittaa käyttöoikeusluettelon kyseiselle objektille |
FULL_CONTROL |
Sallii käyttöoikeuden saajalle säilön LUKU-, KIRJOITUS-, READ_ACP- ja WRITE_ACP-oikeudet | Sallii objektin luku-, READ_ACP- ja WRITE_ACP-käyttöoikeudet |
Amazon S3 -dokumentaatio
Seuraavassa taulukossa näkyy, miten kukin käyttöoikeusluettelon käyttöoikeus yhdistetään vastaaviin käyttöoikeuskäytännön käyttöoikeuksiin. Kuten näet, käyttöoikeuskäytäntö sallii enemmän käyttöoikeuksia kuin käyttöoikeusluettelo. ACL-luetteloita käytetään ensisijaisesti luku- ja kirjoitusoikeuksien myöntämiseen tiedostojärjestelmän käyttöoikeuksien tapaan. Lisätietoja käyttöoikeusluettelon käyttämisestä on ohjeaiheessa Käytettävissä olevien käyttöoikeuskäytäntöasetusten käyttöohjeet.
| ACL-lupa | Vastaavat käyttöoikeuskäytännön käyttöoikeudet, kun käyttöoikeusluettelo myönnetään säilössä | Vastaavat käyttöoikeuskäytännön käyttöoikeudet, kun objektille myönnetään käyttöoikeusluettelo |
|---|---|---|
READ |
s3:ListBucket, s3:ListBucketVersionsja s3:ListBucketMultipartUploads |
s3:GetObject, s3:GetObjectVersionja s3:GetObjectTorrent |
WRITE |
Lisäksi, kun apurahansaaja on säilön omistaja, |
- |
READ_ACP |
s3:GetBucketAcl |
s3:GetObjectAcl ja s3:GetObjectVersionAcl |
WRITE_ACP |
s3:PutBucketAcl |
s3:PutObjectAcl ja s3:PutObjectVersionAcl |
FULL_CONTROL |
Vastaa myöntämistä READ, WRITE, READ_ACPja WRITE_ACP ACL-käyttöoikeudet – Tämä käyttöoikeusluettelo yhdistetään vastaavien käyttöoikeuskäytännön käyttöoikeuksien yhdistelmään. |
Vastaa myöntämistä READ, READ_ACPja WRITE_ACP ACL-käyttöoikeudet. Tämä käyttöoikeusluettelo yhdistetään vastaavien käyttöoikeuskäytännön käyttöoikeuksien yhdistelmään. |
解析度
Vaihtoehto 1:
Lisätietoja säilökäytäntöjen käyttämisestä on ECS:n tietojen käyttöoppaassa. Toisin kuin käyttöoikeusluettelot, jotka joko sallivat kaikki toiminnot tai eivät mitään, käyttöoikeuskäytännöt antavat tietyille käyttäjille tai kaikille käyttäjille ehdolliset ja yksityiskohtaiset oikeudet tiettyihin toimintoihin. Käytännön ehtojen avulla voidaan määrittää käyttöoikeuksia ehtoa vastaavalle objektialueelle. Tätä voidaan käyttää käyttöoikeuksien automaattiseen määrittämiseen juuri ladatuille objekteille.
Viite AWS S3:
https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectAcl.html
https://docs.aws.amazon.com/AmazonS3/latest/dev/example-bucket-policies.html
https://docs.aws.amazon.com/AmazonS3/latest/API/API_Operations.htmlKirjoita kohdassa UI-> Manage-Bucket>-> Edit bucket policy jotain tämän kaltaista käytäntöeditoriin:
{
"Version": "2012-10-17",
"Id": "Policy1593674317613",
"Statement": [
{
"Action": [
"s3:GetObject"
],
"Resource": "bucket_name/*",
"Effect": "Allow",
"Principal": "read-only_user",
"Sid": "Stmt1593673962638"
}
]
} Jos toiminta: "S3:GetObject" on toiminto, joka sallitaan objektien lataamiseen.
Missä vaikutus: "Salli"
missä resurssi": "bucket_name/*" on säilön nimi.
jossa päämies": "read-only_user" on ei-säilön omistajakäyttäjä.
Vaihtoehto 2:
Kun käytät S3-selainta objektin omistajan kanssa, muuta todennettujen käyttäjien oikeuksia objekteille, jotka on ladattu ennen vain luku -säilön käyttöoikeusluetteloa, jotta muu kuin omistajaobjektin käyttäjä voi ladata objektin:
其他資訊
Jos objektin lataamisessa objektin omistajan kautta ilmenee ongelmia eikä käyttöoikeuksia sovelleta todennettuihin käyttäjiin, joilla on kirjoitusoikeudet, tutustu tietokannan artikkeliin 520711
受影響的產品
ECS Appliance產品
ECS Appliance, ECS Appliance Hardware Gen1 U-Series, ECS Appliance Software with Encryption, ECS Appliance Software without Encryption文章屬性
文章編號: 000070218
文章類型: Solution
上次修改時間: 10 9月 2025
版本: 5
向其他 Dell 使用者尋求您問題的答案
支援服務
檢查您的裝置是否在支援服務的涵蓋範圍內。