0

我们正在使用 ceph 并且有几个存储桶。

我们正在使用一个只读用户来备份这些存储桶。

如果我知道列表,我可以备份我的所有存储桶。

我不明白为什么,但我无法列出所有存储桶。

在 ceph radosgw 中是否有可能?我怀疑不是。

该政策如下所示:

{
  "Version": "2012-10-17",
  "Statement": [{
    "Effect": "Allow",
    "Principal": {"AWS": ["arn:aws:iam:::user/read-only"]},
    "Action": [
       "s3:ListBucket",
       "s3:ListAllMyBuckets",
       "s3:GetObject"
     ],
    "Resource": [
      "arn:aws:s3:::bucket",
      "arn:aws:s3:::bucket/*"
    ]
  }]
}

而且我在用户层面没有什么特别之处。

但是当我尝试列出时,我得到以下信息:

export AWS_SECRET_ACCESS_KEY=xx
export AWS_ACCESS_KEY_ID=
export MC_HOST_ceph=https://${AWS_ACCESS_KEY_ID}:${AWS_SECRET_ACCESS_KEY}@radosgwdns
mc ls ceph
mc ls ceph/
mc ls ceph/bucket

只有最后一个命令是列出内容。

在这个链接中据说基本上不可能: https ://help.switch.ch/engines/documentation/s3-like-object-storage/s3_policy/

Only S3 bucket policy is available, S3 user policy is not implemented in Ceph S3.

在此发布页面上,他们可能会谈论它: https ://ceph.io/releases/v16-2-0-pacific-released/

RGW: Improved configuration of S3 tenanted users.

谢谢你的帮助!

4

1 回答 1

0

当您通过对用户的存储桶策略访问存储桶时,它不会出现在用户的存储桶列表中。如果您希望它是,您可以创建一个具有none权限的子用户,并再次使用存储桶策略授予对它的访问权限。现在,当子用户列出存储桶时,它将看到该存储桶,并且由于none许可,它只能访问您指定的存储桶。子用户的主体是这样的:

"Principal": {"AWS": ["arn:aws:iam:::user/MAIN_USER:SUBUSER"]},
于 2021-05-19T15:42:23.840 回答