Подскажите, пожалуйста, мне нужно дать права R/O на бакет для

отдельного пользователя. Я так понял, что сделать это можно через полиси или acl. Попробовал через get-bucket-policy получить полиси на текущий бакет, но его нет. Значит права назначены через acl и get-bucket-acl это подтверждает.
Какой способ более правильный или они равноценны?
Можете дать пример назначения прав с помощью acl? Мне надо как-то не перетереть текущий acl и добавить для другого пользователя. Можно было бы через subusers, но креды уже у конечных пользователей и так уже не получится. Полдня в гугле провёл, но просветление никак не приходит.

3 ответов

24 просмотра

У тебя на бакете нет полиси, значит сейчас туда читать/писать может только владелец. Добавь policy, который даст владельцу full access, а нужному пользователю - права на чтение.

Полдня в гугле не сравнятся с двумя минутами в чатгпт :D ------ Вы можете использовать и ACL, и бакетные политики для управления доступом к бакетам. Оба подхода предлагают гибкость в управлении доступом, но есть некоторые различия. - Бакетные политики предоставляют более гибкий механизм для управления доступом к бакетам и их содержимому. Они позволяют управлять доступом на основе различных условий, таких как IP-адрес пользователя, время дня и т.д. Однако они могут быть сложнее в настройке и управлении, особенно для больших и сложных окружений. - ACL (Access Control Lists) - это более простой механизм для управления доступом. Они позволяют управлять доступом на уровне каждого бакета или объекта, но не предлагают такую же гибкость условий, как бакетные политики. Если у вас уже есть ACL, вы можете продолжить использовать их, но если вы хотите более гибкого управления доступом, то бакетные политики могут быть лучшим выбором. Вот пример того, как можно добавить новую запись в ACL для бакета в Ceph: 1. Получите текущий ACL для бакета: radosgw-admin bucket stats --bucket=mybucket В ответе посмотрите на поле bucket_acl. 2. Скопируйте текущий ACL и добавьте новую запись для вашего пользователя. Например, если ваш текущий ACL выглядит так: { "acl": [ { "type": "CanonicalUser", "id": "currentuserid", "permission": "FULL_CONTROL" } ], "owner": "currentuserid" } Вы можете добавить новую запись для нового пользователя так: { "acl": [ { "type": "CanonicalUser", "id": "currentuserid", "permission": "FULL_CONTROL" }, { "type": "CanonicalUser", "id": "newuserid", "permission": "READ" } ], "owner": "currentuserid" } 3. Примените новый ACL к бакету: radosgw-admin bucket set --bucket=mybucket --bucket-id=<bucket-id> --acl=<new-acl> Здесь <bucket-id> - это идентификатор бакета, который вы получили на первом шаге, а <new-acl> - это новый ACL, который вы создали на втором шаге.

policy и acl никак не могут быть равноценными, т.к. acl это права, а policy - правило для назначения прав. Вы можете после загрузки объекта в бакет вручную назначить для него acl, а можете написать bucket policy и acl будут назначаться к объектам автоматом при загрузке.

Похожие вопросы

Обсуждают сегодня

Не совсем в тему возможно, но может кто то пробовал поднять цеф на нодах вмвари и с последующим подключением через айскази в саму вмварю?
Alexander Zaitsev
34
Привет. Изучаю возможности iscsi gateway и у меня проблема. Я сделал по ману из оф. доки, но спустя какое-то время кластер начал ругаться след.ошибкой: user@ceph-node1:~$ sudo...
Vladimir Ivanov
3
Всем добра. продолжаю знакомится с ceph, возник вопрос на который я с ходу найти ответ не могу. Мысль следующая. Возможен ли кластер цеф, когда основная часть нод в одном дат...
mendisobal
28
Подскажите пожалуйста, а вот много вижу что фактор репликации надо ставить 3 и выше, мониторов по больше. Неужели цеф настолько нестабильный? Или просто используется в мощных ...
Тау Фокс
28
Всем здарова. После нештатного отключения электричества не запускаются два из трех OSD кластера Ceph, резвернутого через rook в кубере. Логи expand-bluefs 2023-10-09T09:15:23...
Vlad Trefilov
4
Всем привет, подскажите, пожалуйста, куда копать? *Warning по Ceph* Версия Ceph: ceph -v ceph version 15.2.17 (8a82819d84cf884bd39c17e3236e0632ac146dc4) octopus (stable) На...
Nesterov Ivan
7
Добрый день! Коллеги, подскажите пожалуйста, насколько целесообразно использовать CEPH, в качестве SDS для системы фото видео фиксации в проекте "Безопасный город"? Планируе...
Victor
23
Вот запихали диски в полки. Дальше что? Интерконнект сетевой между серверами какой нужен? Ну чтобы и публичка и бэк CEPH-а за ресурсы сетевые не передрались. А еще по публичк...
Andrey Nemysskiy
7
Есть ли какой-то штатный или известный механизм ограничения количества одновременного запуска осд при старте ноды в container-based кластере с cephadm? Или вариант с кастомиза...
Qntm
17
как понять какие физические диски используются в кластере ?
DimaE
17
Карта сайта