Details zu Object Storage, Archive Storage und Data Transfer
In diesem Thema werden Details zum Schreiben von Policys beschrieben, die den Zugriff auf Archive Storage, Object Storage und Data Transfer kontrollieren.
Das Feature für Objektlebenszyklus-Policys erfordert, dass Sie dem Object Storage-Service Berechtigungen zum Archivieren und Löschen von Objekten in Ihrem Namen erteilen. Weitere Informationen finden Sie unter Objektlebenszyklus-Policys verwenden.
Ressourcentypen
Individuelle Ressourcentypen
objectstorage-namespaces
buckets
objects
Aggregierter Ressourcentyp
object-family
Eine Policy, die <verb> object-family
verwendet, entspricht dem Schreiben einer Policy mit einer separaten <verb> <individual resource-type>
-Anweisung für die einzelnen individuellen Ressourcentypen.
Details zu den von den einzelnen Verben abgedeckten API-Vorgängen für jeden Ressourcentyp in object-family
finden Sie in der Tabelle unter Details für Kombinationen aus Verb + Ressourcentyp.
Zusätzlicher individueller Ressourcentyp für Data Transfer
data-transfer-jobs
Unterstützte Variablen
Object Storage unterstützt alle allgemeinen Variablen (siehe Allgemeine Variablen für alle Anforderungen) sowie die hier aufgelisteten Variablen:
Vorgänge für diesen Ressourcentyp... | Diese Variable kann verwendet werden | Variablentyp | Kommentare |
---|---|---|---|
buckets und objects |
target.bucket.name
|
Zeichenfolge | Mit dieser Variablen können Sie den Zugriff auf einen bestimmten Bucket kontrollieren. Eine Beispiel-Policy finden Sie unter Schreiben von Objekten in Objektspeicher-Buckets durch Benutzer zulassen. Wichtig: Beim Bedingungsabgleich wird die Groß-/Kleinschreibung nicht beachtet. Wenn Sie einen Bucket mit dem Namen "BucketA" und einen Bucket mit dem Namen "bucketA" haben, gilt die Bedingung where target.bucket.name="BucketA" für beide. Um potenzielle Probleme mit Ressourcennamen in der Policy zu vermeiden, geben Sie Ihren Ressourcen eindeutige Namen. |
buckets und objects |
target.bucket.tag.<TagNamespace>.<TagKeyDefinition> |
Zeichenfolge | Mit dieser Variablen können Sie den Zugriff auf die Buckets kontrollieren, die das spezifische Tag aufweisen. Siehe Schreiben von Objekten in Object Storage-Buckets durch Benutzer zulassen. Wichtig: Sie können diese Variable nicht für |
Die Variablen
request.ipv4.ipaddress
und request.vcn.id
sind veraltet. Anstatt diese Variablen zu verwenden, erstellen Sie eine Netzwerkquelle, um entweder einen IP-Adressbereich oder eine bestimmte VCN-ID anzugeben. Anschließend können Sie die Netzwerkquelle in Ihrer Policy verwenden, um den Zugriff auf diejenigen Anforderungen zu beschränken, die von den zulässigen Netzwerken stammen. Weitere Informationen finden Sie unter Netzwerkquellen - Überblick.Details für Kombinationen aus Verb + Ressourcentyp
In den folgenden Tabellen werden die Berechtigungen und API-Vorgänge angezeigt, die von jedem Verb abgedeckt werden. Die Zugriffsebene ist kumulativ: inspect
> read
> use
> manage
. Beispiel: Eine Gruppe, die eine Ressource verwenden kann, kann diese Ressource auch prüfen und lesen. Ein Pluszeichen (+) in einer Tabellenzelle gibt einen inkrementellen Zugriff im Vergleich zur direkt darüber liegenden Zelle an, während "keine zusätzlichen" keinen inkrementellen Zugriff angibt.
Für Ressourcentypen der Familie "object-family"
Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
---|---|---|---|
read | Kein Wert |
GetNamespace
|
kein Wert |
manage | OBJECTSTORAGE_NAMESPACE_READ OBJECTSTORAGE_NAMESPACE_UPDATE |
|
kein Wert |
Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
---|---|---|---|
inspect | BUCKET_INSPECT |
|
kein Wert |
read | INSPECT + BUCKET_READ |
INSPECT +
|
kein Wert |
use | READ + BUCKET_UPDATE |
READ +
|
PutObjectLifecyclePolicy
|
manage | USE + BUCKET_CREATE BUCKET_DELETE PAR_MANAGE RETENTION_RULE_MANAGE RETENTION_RULE_LOCK (wenn optionale Regelsperre verwendet wird) |
USE +
|
|
Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
---|---|---|---|
inspect | OBJECT_INSPECT |
|
kein Wert |
read | INSPECT + OBJECT_READ |
INSPECT +
|
kein Wert |
use | READ + OBJECT_OVERWRITE |
READ +
|
READ +
|
manage | USE + OBJECT_CREATE OBJECT_DELETE OBJECT_VERSION_DELETE OBJECT_RESTORE OBJECT_UPDATE_TIER |
USE +
|
|
Policys für Datenübertragungsjobs erfordern außerdem die Verwaltung von Objekten oder die Verwaltung von Objekten und Buckets. Weitere Informationen finden Sie unter Erforderliche IAM-Benutzer, -Gruppen und -Policys erstellen.
Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
---|---|---|---|
inspect | TRANSFER_JOB_INSPECT |
keine kundengerichtete API |
keine kundengerichtete API |
read | INSPECT + TRANSFER_JOB_READ |
INSPECT + keine kundengerichtete API |
keine kundengerichtete API |
use | READ + TRANSFER_JOB_UPDATE |
READ + keine kundengerichtete API |
READ + keine kundengerichtete API |
manage | USE + TRANSFER_JOB_CREATE TRANSFER_JOB_DELETE |
USE + keine kundengerichtete API |
USE + keine kundengerichtete API |
Für jeden API-Vorgang erforderliche Berechtigungen
In der folgenden Tabelle werden die API-Vorgänge in einer logischen Reihenfolge nach Ressourcentyp gruppiert aufgeführt.
Informationen zu Berechtigungen finden Sie unter Berechtigungen.
API-Vorgang | Erforderliche Berechtigungen für den Vorgang |
---|---|
GetNamespace
|
Die API erfordert keine Berechtigungen und gibt den Namespace des Aufrufers zurück. Mit der API können Sie Ihre Zugangsdaten validieren. Wenn Sie den optionalen Parameter |
GetNamespaceMetadata
|
OBJECTSTORAGE_NAMESPACE_READ |
UpdateNamespaceMetadata
|
OBJECTSTORAGE_NAMESPACE_UPDATE |
CreateBucket
|
BUCKET_CREATE |
UpdateBucket
|
BUCKET_UPDATE |
GetBucket
|
BUCKET_READ |
HeadBucket
|
BUCKET_INSPECT |
ListBuckets
|
BUCKET_INSPECT |
DeleteBucket
|
BUCKET_DELETE |
ReencryptBucket
|
BUCKET_UPDATE |
PutObject
|
Die erforderliche Berechtigung hängt davon ab, ob das Objekt bereits im Bucket vorhanden ist:
|
RenameObject
|
OBJECT_CREATE und OBJECT_OVERWRITE |
GetObject
|
OBJECT_READ |
HeadObject
|
OBJECT_READ oder OBJECT_INSPECT |
DeleteObject
|
OBJECT_DELETE |
DeleteObjectVersion
|
OBJECT_VERSION_DELETE |
ListObjects
|
OBJECT_INSPECT |
ReencryptObject
|
OBJECT_READ und OBJECT_OVERWRITE |
RestoreObjects
|
OBJECT_RESTORE |
UpdateObjectStorageTier |
OBJECT_UPDATE_TIER |
CreateMultipartUpload
|
OBJECT_CREATE und OBJECT_OVERWRITE |
UploadPart
|
OBJECT_CREATE und OBJECT_OVERWRITE |
CommitMultipartUpload
|
OBJECT_CREATE und OBJECT_OVERWRITE |
ListMultipartUploadParts
|
OBJECT_INSPECT |
ListMultipartUploads
|
BUCKET_READ |
AbortMultipartUpload
|
OBJECT_DELETE |
CreatePreauthenticatedRequest
|
PAR_MANAGE |
GetPreauthenticatedRequest
|
PAR_MANAGE oder BUCKET_READ |
ListPreauthenticatedRequests
|
PAR_MANAGE oder BUCKET_READ |
DeletePreauthenticatedRequest
|
PAR_MANAGE |
PutObjectLifecyclePolicy
|
BUCKET_UPDATE, OBJECT_CREATE und OBJECT_DELETE |
GetObjectLifecyclePolicy
|
BUCKET_READ |
DeleteObjectLifecyclePolicy
|
BUCKET_UPDATE |
CreateRetentionRule
|
BUCKET_UPDATE & RETENTION_RULE_MANAGE (& RETENTION_RULE_LOCK) |
GetRetentionRule
|
BUCKET_READ |
ListRetentionRule
|
BUCKET_READ |
UpdateRetentionRule
|
BUCKET_UPDATE & RETENTION_RULE_MANAGE (& RETENTION_RULE_LOCK) |
DeleteRetentionRule
|
BUCKET_UPDATE & RETENTION_RULE_MANAGE |
CreateCopyRequest
|
OBJECT_READ, OBJECT_CREATE, OBJECT_OVERWRITE und OBJECT_INSPECT |
GetWorkRequest
|
OBJECT_READ |
ListWorkRequests
|
OBJECT_INSPECT |
CancelWorkRequest
|
OBJECT_DELETE |
CreateReplicationPolicy
|
OBJECT_READ, OBJECT_CREATE, OBJECT_OVERWRITE, OBJECT_INSPECT, OBJECT_DELETE, OBJECT_RESTORE, BUCKET_READ und BUCKET_UPDATE |
GetReplicationPolicy
|
BUCKET_READ |
DeleteReplicationPolicy
|
OBJECT_READ, OBJECT_CREATE, OBJECT_OVERWRITE, OBJECT_INSPECT, OBJECT_DELETE, OBJECT_RESTORE, BUCKET_READ und BUCKET_UPDATE |
ListReplicationPolicies
|
BUCKET_READ |
ListReplicationSources
|
BUCKET_READ |
MakeBucketWritable
|
OBJECT_READ, OBJECT_CREATE, OBJECT_OVERWRITE, OBJECT_INSPECT, OBJECT_DELETE, BUCKET_READ und BUCKET_UPDATE |