Bagaimana cara saya berbagi data lintas departemen berdasarkan kebijakan bucket? - Object Storage Service

Topik ini menjelaskan cara menggunakan kebijakan bucket untuk secara aman berbagi data lintas departemen atau tim proyek dengan mengizinkan beberapa pengguna hanya mengunduh data dan mencegah mereka menulis atau menghapus data di Object Storage Service (OSS).

Informasi latar belakang

Dalam contoh ini, Departemen A ingin menyimpan data dalam sebuah bucket bernama example-bucket dan mengizinkan pengguna di Departemen B untuk mengunduh data yang dibagikan. Topik ini menunjukkan cara mengikuti prinsip hak istimewa minimal untuk mengontrol akses ke data yang dibagikan. Gambar berikut menunjukkan izin yang diharapkan dari administrator dan pengguna di Departemen A dan Departemen B untuk mengakses bucket example-bucket.

Proses otorisasi

Dalam contoh ini, administrator Departemen A dapat menggunakan langkah-langkah berikut untuk mengonfigurasi kebijakan bucket yang memberikan izin akses berbeda pada bucket tersebut.

Langkah 1: Buat Bucket
Administrator Departemen A membuat bucket bernama example-bucket untuk menyimpan data yang dibagikan.
Langkah 2: Berikan Izin untuk Mengunggah Data yang Dibagikan
Administrator Departemen A mengonfigurasi kebijakan bucket untuk example-bucket untuk mengizinkan pengguna di Departemen A mengunggah data ke bucket tersebut.
Langkah 3: Berikan Izin untuk Mengunduh Data yang Dibagikan dan Tolak Penulisan serta Penghapusan Data yang Dibagikan
Administrator Departemen A mengonfigurasi kebijakan bucket untuk example-bucket untuk mengizinkan pengguna di Departemen B mengunduh data yang dibagikan tetapi tidak dapat menulis atau menghapus data yang dibagikan.
Langkah 4: Unggah Data yang Dibagikan
Lakukan langkah-langkah berikut untuk mengunggah data ke example-bucket sebagai pengguna Departemen A:
Langkah 5: Verifikasi Izin
Verifikasi izin pengguna di Departemen B untuk memastikan bahwa mereka hanya dapat mengunduh data yang dibagikan dan tidak dapat menulis atau menghapus data yang dibagikan.

Prasyarat

Pengguna RAM untuk administrator dan pengguna di Departemen A dan Departemen B telah dibuat dalam akun Alibaba Cloud perusahaan.
Untuk informasi lebih lanjut, lihat Buat Pengguna RAM.
UID pengguna RAM diperoleh. Untuk informasi lebih lanjut tentang cara memeriksa UID, lihat Lihat Informasi tentang Pengguna RAM.
Izin yang sesuai diberikan kepada pengguna RAM.
Dalam contoh ini, administrator Departemen A perlu membuat bucket dan mengonfigurasi kebijakan bucket. Oleh karena itu, kebijakan AliyunOSSFullAccess harus dilampirkan ke grup pengguna RAM administrator. Untuk informasi lebih lanjut, lihat Berikan Izin kepada Pengguna RAM.

Langkah 1: Buat bucket

Lakukan langkah-langkah berikut untuk membuat bucket di wilayah China (Hangzhou) sebagai administrator Departemen A:

Masuk ke Konsol OSS sebagai administrator Departemen A.
Di panel navigasi sisi kiri, klik Buckets. Di halaman Bucket, klik Create Bucket.
Di panel Create Bucket, konfigurasikan parameter.
Dalam contoh ini, bucket diberi nama example-bucket. Untuk informasi lebih lanjut tentang cara mengonfigurasi parameter untuk membuat bucket, lihat Buat Bucket.
Klik OK.

Langkah 2: Berikan izin untuk mengunggah data yang dibagikan

Lakukan langkah-langkah berikut sebagai administrator Departemen A untuk mengizinkan pengguna di Departemen A mengunggah data ke example-bucket:

Klik nama bucket yang dibuat di Langkah 1.
Di pohon navigasi sisi kiri, pilih Permission Control > Bucket Policy.
Pada tab Add in GUI dari tab Bucket Policy, klik Authorize.

Di panel Authorize, konfigurasikan parameter berikut dan pertahankan pengaturan default untuk parameter lainnya.

Parameter	Deskripsi
Applied To	Pilih Whole Bucket untuk menerapkan kebijakan bucket ke seluruh bucket.
Authorized User	Pilih RAM User. Dari daftar drop-down pengguna RAM, pilih pengguna RAM yang ingin Anda berikan izin untuk mengunggah data ke bucket. Anda juga dapat memasukkan nama pengguna atau kata kunci di kotak pencarian untuk mencari pengguna RAM tertentu melalui pencocokan kabur.
Authorized Operation	Pilih Basic Settings dan klik Read/Write. Opsi ini menunjukkan bahwa pengguna yang diotorisasi dapat melakukan operasi baca dan tulis pada bucket.

Klik OK.
Pengguna di Departemen A diberikan izin untuk mengunggah data ke bucket.

Langkah 3: Berikan izin untuk mengunduh data yang dibagikan dan tolak penulisan serta penghapusan data yang dibagikan

Lakukan langkah-langkah berikut sebagai administrator Departemen A untuk mengizinkan pengguna di Departemen B mengunduh data yang dibagikan dari example-bucket:

Klik nama bucket yang dibuat di Langkah 1.
Di pohon navigasi sisi kiri, pilih Permission Control > Bucket Policy.
Pada tab Add in GUI dari tab Bucket Policy, klik Authorize.

Di panel Authorize, konfigurasikan parameter berikut dan pertahankan pengaturan default untuk parameter lainnya.

Parameter	Deskripsi
Applied To	Pilih Whole Bucket untuk menerapkan kebijakan bucket ke seluruh bucket.
Authorized User	Pilih Other Accounts. Masukkan UID pengguna RAM yang ingin Anda izinkan untuk mengunduh data yang dibagikan.
Authorized Operation	Pilih Basic Settings dan klik Read-only (including ListObject). Opsi ini menunjukkan bahwa pengguna yang diotorisasi hanya dapat melihat, mencantumkan, dan mengunduh data tetapi tidak dapat menulis atau menghapus data yang disimpan di example-bucket.

Klik OK.
Pengguna di Departemen B diberikan izin untuk mengunduh data dari bucket. Mereka tidak diizinkan menulis data ke bucket atau menghapus data dari bucket.

Langkah 4: Unggah data ke bucket

Lakukan langkah-langkah berikut untuk mengunggah data ke example-bucket sebagai pengguna Departemen A:

Masuk ke Konsol OSS sebagai pengguna RAM di Departemen A.
Buka halaman unggah objek di https://oss.console.alibabacloud.com/bucket/hangzhou/example-bucket/object/upload.
Di halaman Unggah, konfigurasikan parameter untuk mengunggah data.
Pilih Direktori Saat Ini untuk Tujuan Unggah. Untuk informasi lebih lanjut tentang pengaturan parameter dalam unggahan, lihat Unggah Objek.
Pada tab Upload Tasks dari panel Task List, periksa kemajuan tugas. Setelah unggahan selesai, tutup panel.
Data diunggah ke example-bucket.

Langkah 5: Verifikasi izin

Lakukan langkah-langkah berikut di Konsol OSS untuk memverifikasi bahwa pengguna di Departemen B dapat mengunduh tetapi tidak dapat menulis atau menghapus data yang dibagikan:

Masuk ke Konsol OSS sebagai pengguna RAM di Departemen B.
Buka halaman Objects di https://oss.console.alibabacloud.com/bucket/hangzhou/example-bucket/object.
Di halaman Objects, lakukan pemeriksaan izin berikut:
1. Verifikasi izin unduhan pengguna di Departemen B pada data yang dibagikan.
  Temukan objek di bucket example-bucket dan pilih > Download di kolom Aksi.
  - Jika objek tidak dapat diunduh, izin unduhan dikonfigurasi dengan salah.
  - Jika objek berhasil diunduh, izin unduhan dikonfigurasi dengan benar.
2. Verifikasi izin unggah pengguna di Departemen B pada data yang dibagikan.
  Ikuti Langkah 4 untuk mengunggah data ke example-bucket.
  - Jika operasi unggah gagal, izin unggahan yang dimaksudkan dikonfigurasi dengan benar.
  - Jika operasi unggah berhasil, izin unggahan yang dimaksudkan dikonfigurasi dengan salah.
3. Verifikasi izin penghapusan pengguna di Departemen B pada data yang dibagikan.
  Temukan objek di bucket example-bucket dan pilih > Delete.
  - Jika operasi penghapusan gagal, izin penghapusan yang dimaksudkan dikonfigurasi dengan benar.
  - Jika operasi penghapusan berhasil, izin penghapusan yang dimaksudkan dikonfigurasi dengan salah.