Cấu hình IAM Policy

Tạo chính sách người dùng IAM

Bước 1: Tạo chính sách IAM mới

Tại giao diện trang chủ VNDATA S3, chọn mục IAM để đến giao diện quản lý định danh và truy cập IAM.

Tiếp tục chọn IAM Policy để đến cửa sổ Manage IAM Policy, sau đó nhấp chọn Add new Policy để tạo một chính sách IAM mới.

001

Bước 2: Nhập thông tin chính sách IAM

  • Policy Name: Nhập tên chính sách cần tạo.
  • Path: Nhập đường dẫn của chính sách (ví dụ là /).
  • Policy Description: Nhập thông tin mô tả cho chính sách cần tạo.
  • Policy Document: Tạo các quyền truy cập của chính sách.

002

Bước 2.1: Tạo quyền truy cập

Sau khi nhấp chọn Detail of the IAM Policy Document ở mục Policy Document, của sổ Create Policy sẽ xuất hiện, trong đó:

  • Effect: Hành động của chính sách (Allow, Deny).
    • Allow: Cho phép thực hiện các quyền trong mục Actions.
    • Deny: Không cho phép thực hiện các quyền trong mục Actions.
  • Actions: Danh mục các quyền truy cập (List, Read, Write, Permission management).
  • Resources: Tài nguyên áp dụng đối với chính sách (All resources, Specific).
    • All resources: Tất cả tài nguyên (Buckets và Objects) của người dùng.
    • Specific: Chỉ định từng bucket và object cụ thể.

003

Bước 2.2: Danh mục các quyền truy cập trong Actions

Danh mục quyền List

    1. HeadObject: Quyền truy xuất siêu dữ liệu metadata của Object.
    1. ListAllMyBuckets: Quyền liệt kê tất cả các Bucket đang lưu trữ.
    1. ListBucket: Quyền liệt kê một vài hoặc tất cả các đối tượng trong Bucket.
    1. Select all: Lựa chọn tất cả các quyền trong danh mục quyền List.

004

Danh mục quyền Read

    1. GetBucketAcl: Quyền truy xuất danh sách kiểm soát truy cập của Bucket.
    1. GetBucketCORS: Quyền truy xuất thông tin cấu hình CORS của Bucket (CORS - cấu hình chia sẻ tài nguyên chéo).
    1. GetBucketLocation: Quyền truy xuất thông tin vùng lưu trữ (region) của Bucket.
    1. GetBucketLogging: Quyền truy xuất trình ghi nhật ký của Bucket.
    1. GetBucketNotification: Quyền truy xuất cấu hình thông báo của Bucket.
    1. GetBucketObjectLockConfiguration: Quyền truy xuất cấu hình Object bị khóa trong Bucket.
    1. GetBucketPolicy: Quyền truy xuất chính sách của Bucket.
    1. GetBucketRequestPayment: Quyền truy xuất cấu hình yêu cầu thanh toán của Bucket.
    1. GetBucketTagging: Quyền truy xuất bộ thẻ được liên kết với Bucket.
    1. GetBucketVersioning: Quyền truy xuất phiên bản của Bucket.
    1. GetBucketWebsite: Quyền truy xuất cấu hình static-website của Bucket.
    1. GetEncryptionConfiguration: Quyền truy xuất cấu hình mã hóa mặc định của Bucket.
    1. GetLifecycleConfiguration: Quyền truy xuất cấu hình vòng đời của Bucket.
    1. GetObject: Quyền truy xuất các Objects.
    1. GetObjectAcl: Quyền truy xuất danh sách kiểm soát truy cập của Object.
    1. GetObjectLegalHold: Quyền truy xuất trạng thái lưu trữ hợp pháp của Object.
    1. GetObjectRetention: Quyền truy xuất cài đặt lưu giữ của Object.
    1. GetObjectTagging: Quyền truy xuất bộ thẻ của Object.
    1. GetObjectTorrent: Quyền truy xuất các tệp Torrent từ Bucket.
    1. GetObjectVersion: Quyền truy xuất phiên bản của Object.
    1. GetObjectVersionAcl: Quyền truy xuất danh sách kiểm soát truy cập của phiên bản Object.
    1. GetObjectVersionTagging: Quyền truy xuất thẻ của phiên bản Object.
    1. GetReplicationConfiguration: Quyền truy xuất thông tin cấu hình sao chép của Bucket.
    1. ListBucketMultipartUploads: Quyền liệt kê tất cả các bản tải lên của Bucket (Các bản tải lên chưa hoàn thành hoặc bị hủy bỏ).
    1. ListBucketVersions: Quyền liệt kê tất cả các phiên bản của Object.
    1. ListMultipartUploadParts: Quyền liệt kê các phần đã được tải lên Bucket.
    1. Select all: Lựa chọn tất cả các quyền trong danh sách quyền Read.

005

Danh mục quyền Write

    1. AbortMultipartUpload: Không được phép tải lên nhiều phần.
    1. CreateBucket: Quyền tạo Bucket.
    1. DeleteBucket: Quyền xóa Bucket.
    1. DeleteBucketWebsite: Quyền xóa cấu hình static-website của Bucket.
    1. DeleteObject: Quyền xóa Object.
    1. DeleteObjectTagging: Quyền xóa các Objects gắn thẻ.
    1. DeleteObjectVersion: Quyền xóa các phiên bản của Objects.
    1. DeleteObjectVersionTagging: Quyền xóa các phiên bản của Objects gắn thẻ.
    1. PutBucketCORS: Quyền thiết lập cấu hình CORS cho Bucket.
    1. PutBucketLogging: Quyền thiết lập cấu hình trình ghi nhật ký cho Bucket.
    1. PutBucketNotification: Quyền thiêt lập cấu hình nhận thông báo từ Bucket.
    1. PutBucketObjectLockConfiguration: Quyền thiết lập khóa Object trên Bucket.
    1. PutBucketRequestPayment: Quyền thiết lập cấu hình yêu cầu thanh toán của Bucket.
    1. PutBucketTagging: Quyền thiết lập thêm bộ thẻ vào Bucket.
    1. PutBucketVersioning: Quyền thiết lập phiên bản của Bucket.
    1. PutBucketWebsite: Quyền thiết lập cấu hình static-website cho Bucket.
    1. PutEncryptionConfiguration: Quyền thiết lập cấu hình mã hóa cho Bucket.
    1. PutLifecycleConfiguration: Quyền thiết lập cấu hình vòng đời cho Bucket.
    1. PutObject: Quyền thiết lập thêm Object vào Bucket.
    1. PutObjectLegalHold: Quyền thiết lập áp dụng cấu hình lưu giữ hợp pháp cho các Objects.
    1. PutObjectRetention: Quyền thiết lập cấu hình lưu giữ Object.
    1. PutObjectTagging: Quyền thiết lập cấu hình bộ thẻ cho Object.
    1. PutObjectVersionTagging: Quyền thiết lập cấu hình bộ thẻ cho phiên bản của Object.
    1. PutReplicationConfiguration: Quyền thiết lập cấu hình sao chép.
    1. ReplicateDelete: Quyền xóa các bản sao chép của Object.
    1. RestoreObject: Quyền khôi phục bản sao đã lưu trữ của Object.
    1. Select all: Lựa chọn tất cả các quyền trong danh mục quyền Write.

006

Danh mục quyền Permission management

    1. BypassGovernanceRetention: Cho phép thao tác trên các phiên bản Objects bị khóa.
    1. DeleteBucketPolicy: Quyền xóa chính sách trên Bucket.
    1. PutBucketAcl: Quyền thiết lập danh sách kiểm soát truy cập cho Bucket.
    1. PutObjectVersionAcl: Quyền thiết lập danh sách kiểm soát truy cập phụ cho Object.
    1. PutBucketPolicy: Quyền thiêt lập chính sách cho Bucket.
    1. PutObjectAcl: Quyền thiết lập danh sách kiểm soát truy cập cho các Objects trong Bucket.
    1. Select all: Lựa chọn tất cả các quyền trong danh mục quyền Permission management.

007

Bước 2.3: Lựa chọn tài nguyên được áp dụng

Ở mục Resources, lựa chọn All resources thì mặc định các quyền Actions được chỉ định trong chính sách này sẽ áp dụng trên tất cả các tài nguyên của người dùng S3 gốc (tất cả Buckets và Objects lưu trữ), chọn Specific để chỉ ra từng Bucket hoặc Object cụ thể.

Trường hợp chọn Specific, tiếp tục nhấp chọn Add ARN để thêm Bucket vào danh sách cụ thể, sau đó chọn Edit để nhập tên của Bucket (ví dụ Bucket là web-demo), và chọn Save Changes để lưu lại thiết lập mục Resources.

008

Bước 2.4: Tạo chính sách

Sau khi đã chọn các quyền truy cập ở mục Actions và chỉ định các Buckets hoặc Objects được áp dụng ở mục Resources (hoặc chọn All resources để áp dụng đối với tất cả tài nguyên của người dùng), chọn Save ở cửa sổ Create Policy để áp dụng tạo quyền truy cập của chính sách.

Tiếp theo chọn Add ở cửa sổ Manage IAM Policy để thực hiện tạo chính sách IAM mới.

009

Xóa chính sách IAM

Lưu ý: Trước khi thực hiện xóa một chính sách IAM, cần phải tách chính sách đó khỏi mọi nhóm và người dùng IAM cụ thể.

Tại cửa sổ quản lý chính sách IAM - Manage IAM Policy, nhấp chọn Delete ứng với chính sách cần xóa để thực hiện xóa chính sách.

Sau đó hệ thống sẽ nhắc xác nhận lại hành động, chọn Ok để xác nhận xóa chính sách.

010