Ролевая модель

В объектном хранилище на основе CEPH реализация ролевой модели пользователей организована с использованием механизма подпользователей (subusers).

Подпользователь — это вспомогательная учетная запись, создаваемая для основного пользователя. Подпользователи используются для реализации ролевой модели, позволяя гибко управлять доступом к объектам и бакетам в объектном хранилище.

• Количество подпользователей: неограниченно.
• Создание: осуществляется по запросу через службу технической поддержки.

Для подпользователей предусмотрено пять основных типов прав:

• Без прав (No Access).
• Чтение (Read).
• Запись (Write).
• Чтение и запись (Read-Write).
• Полный доступ (Full Access).

В рамках текущего сервиса подпользователи создаются только с нулевыми правами. Причины создания подпользователей без прав:

• Глобальный характер прав.
  Права, назначенные подпользователю при создании, имеют глобальный масштаб. Например, подпользователь с правами на чтение-запись получает доступ ко всем бакетам в пространстве основного пользователя. Однако зачастую клиентам требуется ограниченный доступ, например, только к одному бакету или к конкретным операциям.
• Ручная настройка доступа.
  Чтобы обеспечить изолированный доступ к одному бакету, приходится создавать ограничивающие политики, блокирующие доступ ко всем бакетам, кроме целевого.
• Снижение рисков утечки данных.
  Поскольку создание подпользователей осуществляется вручную через техническую поддержку, назначение прав уже на этапе создания подпользователя может привести к ошибкам, увеличивающим риск утечек данных.

Назначение и изменение прав подпользователя осуществляется через политику бакета (Bucket Policy). Использование политик бакета позволяет гибко ограничивать или предоставлять доступ подпользователям, обходя ограничения глобальных прав.

Механизм политик бакетов в CEPH аналогичен концепции Bucket Policy в Amazon S3, однако имеет свои особенности. Подробную информацию о формате и настройке политик можно найти в официальной документации CEPH или AWS.

Одно из ключевых отличий — формат именования пользователей в атрибуте Principal.

• В AWS это выглядит так: arn:aws:iam::<AWS_Account>:root.
• В CEPH же это выглядит иначе:

  • arn:aws:iam:::user/<username> для основного пользователя и
  • arn:aws:iam:::user/<username>:<subuser> для подпользователя.

Сами права регулируются с помощью действий (Actions).

Пример 1. Разрешить все действия подпользователю <subuser> в бакете <bucketname> в пространстве <username>

1
{
2
  "Version": "2012-10-17",
3
  "Statement": {
4
    "Effect": "Allow",
5
    "Principal":  {
6
      "AWS": [
7
        "arn:aws:iam:::user/<username>:<subuser>"
8
      ]
9
    },
10
    "Action": "*",
11
    "Resource":  [
12
      "arn:aws:s3:::<bucketname>/*",
13
      "arn:aws:s3:::<bucketname>"
14
    ]
15
  }
16
}

Пример 2. Разрешить чтение и запись для подпользователя <subuser> в бакете <bucketname>

1
{
2
  "Version": "2012-10-17",
3
  "Statement": {
4
    "Effect": "Allow",
5
    "Principal":  {
6
      "AWS": [
7
        "arn:aws:iam:::user/<username>:<subuser>"
8
      ]
9
    },
10
    "Action": [
11
      "s3:DeleteObject",
12
      "s3:GetObject",
13
      "s3:ListBucket",
14
      "s3:PutObject"
15
    ],
16
    "Resource":  [
17
      "arn:aws:s3:::<bucketname>/*",
18
      "arn:aws:s3:::<bucketname>"
19
    ]
20
  }
21
}

Пример 3. Разрешить все действия подпользователям <subuser_1> и <subuser_2> в <bucketname>

1
{
2
  "Version": "2012-10-17",
3
  "Statement": {
4
    "Effect": "Allow",
5
    "Principal":  {
6
      "AWS": [
7
        "arn:aws:iam:::user/<username>:<subuser_1>",
8
        "arn:aws:iam:::user/<username>:<subuser_2>"
9
      ]
10
    },
11
    "Action": "*",
12
    "Resource":  [
13
      "arn:aws:s3:::<bucketname>/*",
14
      "arn:aws:s3:::<bucketname>"
15
    ]
16
  }
17
}