CN110414211A - 一种基于资源的ioss权限管理方法 - Google Patents
一种基于资源的ioss权限管理方法 Download PDFInfo
- Publication number
- CN110414211A CN110414211A CN201910689051.2A CN201910689051A CN110414211A CN 110414211 A CN110414211 A CN 110414211A CN 201910689051 A CN201910689051 A CN 201910689051A CN 110414211 A CN110414211 A CN 110414211A
- Authority
- CN
- China
- Prior art keywords
- user
- bucket
- resource
- permission
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000007726 management method Methods 0.000 title claims abstract description 74
- 238000012217 deletion Methods 0.000 claims abstract description 8
- 230000037430 deletion Effects 0.000 claims abstract description 8
- 238000013475 authorization Methods 0.000 claims description 11
- 238000000034 method Methods 0.000 claims description 4
- 241000406668 Loxodonta cyclotis Species 0.000 description 1
- 230000005856 abnormality Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 235000013399 edible fruits Nutrition 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于资源的IOSS权限管理方法,属于对象存储技术领域。本发明的基于资源的IOSS权限管理方法包括用户管理和资源的权限管理:用户管理为资源的权限管理提供用户基础,提供用户的创建、删除和密码更改;资源的权限管理以资源为单位,包括Bucket和Object两类资源,管理资源访问控制列表和管理用户对资源访问的权限。该发明的基于资源的IOSS权限管理方法能够支持权限管理功能,具有很好的推广应用价值。
Description
技术领域
本发明涉及对象存储技术领域,具体提供一种基于资源的IOSS权限管理方法。
背景技术
IOSS即inspur object storge serveice,为浪潮对象存储***,支持对象数据高效的上传、下载、更新、删除。
IOSS包括三类服务节点:OSLN服务节点、OS存储服务节点和元数据管理服务节点。OSLN服务节点主要包括OSLN服务,主要作为OS服务节点的管理节点。OS存储服务节点包括OS存储服务、OSSN以及OSRN服务,其中OS存储存服务主要是进行对象数据的实际存储、管理;OSSN服务和OSRN服务主要为对象数据的备份提供基础数据传输功能。OSSN服务主要提供对象数据发送功能;OSRN服务主要是提供对象数据复制功能。元数据管理服务包括OSMetadata服务,主要是进行对象存储元数据管理以及异常处理,由Apache kudu集群提供。
IOSS提供对Bucket和object的操作。Bucket为用于存储对象(Object)的容器,所有对象都必须隶属于某一个Bucket。Bucket的名字全局唯一,Bucket内的对象不可重名,不同Bucket的对象可重名,原则上某一Bucket内对象数目无限制。
对Bucket的操作包括增加Bucket、删除Bucket、重命名。对Object的操作包括上传Object、下载Object、删除Object、重命名Object、更新Object。
在实际场景应用中,用户除需要多数据进行管理外还需要对对象存储中的数据进行分用户的权限管理,目前IOSS***不支持相关的权限管理功能。
发明内容
本发明的技术任务是针对上述存在的问题,提供一种能够支持权限管理功能的基于资源的IOSS权限管理方法。
为实现上述目的,本发明提供了如下技术方案:
一种基于资源的IOSS权限管理方法,该方法包括用户管理和资源的权限管理;
用户管理为资源的权限管理提供用户基础,提供用户的创建、删除和密码更改;
资源的权限管理以资源为单位,包括Bucket和Object两类资源,管理资源访问控制列表和管理用户对资源访问的权限。
作为优选,所述用户管理中用户分为管理员用户和普通用户,管理员用户负责创建、删除普通用户,普通用户为管理员用户创建,负责具体对象数据的管理和授权操作。
作为优选,资源的权限管理中管理资源访问控制列表为控制用户对资源进行的访问,包括公共读写、公共读、私有和default,其中用户对Bucket的资源访问控制列表的访问包括公共读写、公共读、私有,默认为私有;用户对Object的资源访问控制列表的访问包括公共读写、公共读、私有和default。
Bucket的资源访问控制列表的访问可以在创建Bucket时指定也可以在创建完成后修改,该操作只有Bucket的创建者即拥有者才有权限进行,默认为私有。只有Bucket的拥有者即创建者才有权限进行BucketACL的设置、读取。
作为优选,所述用户对Bucket的资源访问控制列表的访问的公共读写为所有用户对Bucket中的对象及Bucket均具有读、写权限;所述用户对Bucket的资源访问控制列表的访问的公共读为所有用户对该Bucket及其中的对象都具有读权限,只有Bucket拥有者或授权的用户具有写权限;所述用户对Bucket的资源访问控制列表的访问的私有为只有Bucket拥有者或授权的用户对Bucket具有读或写权限。
作为优选,所述用户对Object的资源访问控制列表的访问的公共读写为所有用户对该Object均具有读写权限;所述用户对Object的资源访问控制列表的访问的公共读为公共读指所有用户对该对象都具有读权限,只有Object拥有者或授权的用户对该Object具有写权限;所述用户对Object的资源访问控制列表的访问的私有为只有Object拥有者或授权的用户对该Object具有读或写权限;所述用户对Object的资源访问控制列表的访问的default为用户对Object的权限继承对Bucket的访问权限。如果没有设置Object的权限,即Object的资源访问控制列表为default,Object的权限和Bucket权限一致,如果设置了Object的权限,Object的权限大于Bucket权限。
资源访问控制列表可以在创建资源时设置也可以在资源创建完成后设置,只有Object的拥有者或Bucket的拥有者即创建者才可以进行Object的资源访问控制列表的设置、读取。
作为优选,资源的权限管理中管理用户对资源访问的权限为对对象存储中的资源授予或删除用户相关权限,授予的权限包括读、读写、写、全部权限和拒绝访问。
作为优选,对Bucket的读操作为获取该Bucket的元数据、Bucket中的对象名称、读取所有对象的数据以及元数据;对Bucket的写操作为在Bucket中上传对象、更新对象、元数据、重命名以及删除对象操作;对Bucket的读写操作为对Bucket具体读、写操作;对Bucket的全部权限为指定用户具有跟拥有者一样的权限;对Bucket的拒绝访问为不具有任何权限。
对Bucket的读操作包括的API操作有:
list_objects、get_object_metadata、get_object、get_object_to_file、list_buckets。
对Bucket的写操作包括的API操作有:
put_object_from_file,put_object_from_file_auto,put_object,update_object_from_file、update_object、rename_object、set_object_custom_metadata、delete_object、delete_all_object(bucket拥有者)。
Bucket的拥有者具有对其下所有对象的所有权限。
只有Bucket的拥有者即创建者才可以进行BucketACL的设置、读取即set_bucket_acl、get_bucket_acl。
作为优选,对Object的读操作为列举出对象的数据以及元数据;对Object的写操作为更新对象、元数据以及删除对象操作;对Object的读写操作为对Object具体读、写操作;对Object的全部权限为指定用户具有跟拥有者一样的权限;对Object的拒绝访问为不具有任何权限。
对Object的读操作包括的API操作有:
get_object_metadata、get_object、get_object_to_file。
对Object的写操作包括的API操作有:
update_object_from_file,update_object,rename_object,set_object_custom_metadata、delete_object。
Object拥有者对Obeject具有所有权限。
只有Object的拥有者或Bucket的拥有者即创建者才可以进行ObjectACL的设置、读取。
与现有技术相比,本发明的基于资源的IOSS权限管理方法具有以下突出的有益效果:所述基于资源的IOSS权限管理方法可以实现资源访问列表对用户进行粗粒度的权限管理以及通过权限授权对资源进行细粒度的权限管理,满足不同场景的需求,此外通过用户管理和资源的权限管理,能够支持权限管理功能,具有良好的推广应用价值。
具体实施方式
下面将结合实施例,对本发明的基于资源的IOSS权限管理方法作进一步详细说明。
实施例
本发明的基于资源的IOSS权限管理方法包括用户管理和资源的权限管理。
用户管理为资源的权限管理提供用户基础,提供用户的创建、删除和密码更改。
用户管理中用户分为管理员用户和普通用户,管理员用户负责创建、删除普通用户,普通用户为管理员用户创建,负责具体对象数据的管理和授权操作。
资源的权限管理以资源为单位,包括Bucket和Object两类资源,管理资源访问控制列表和管理用户对资源访问的权限。
资源的权限管理中管理资源访问控制列表为控制用户对资源进行的访问,包括公共读写、公共读、私有和default。其中用户对Bucket的资源访问控制列表的访问包括公共读写、公共读、私有,默认为私有。用户对Object的资源访问控制列表的访问包括公共读写、公共读、私有和default。
Bucket的资源访问控制列表的访问可以在创建Bucket时指定也可以在创建完成后修改,该操作只有Bucket的创建者即拥有者才有权限进行,默认为私有。只有Bucket的拥有者即创建者才有权限进行BucketACL的设置、读取。
其中,用户对Bucket的资源访问控制列表的访问的公共读写为所有用户对Bucket中的对象及Bucket均具有读、写权限;所述用户对Bucket的资源访问控制列表的访问的公共读为所有用户对该Bucket及其中的对象都具有读权限,只有Bucket拥有者或授权的用户具有写权限;所述用户对Bucket的资源访问控制列表的访问的私有为只有Bucket拥有者或授权的用户对Bucket具有读或写权限。
用户对Object的资源访问控制列表的访问的公共读写为所有用户对该Object均具有读写权限;所述用户对Object的资源访问控制列表的访问的公共读为公共读指所有用户对该对象都具有读权限,只有Object拥有者或授权的用户对该Object具有写权限;所述用户对Object的资源访问控制列表的访问的私有为只有Object拥有者或授权的用户对该Object具有读或写权限;所述用户对Object的资源访问控制列表的访问的default为用户对Object的权限继承对Bucket的访问权限。如果没有设置Object的权限,即Object的资源访问控制列表为default,Object的权限和Bucket权限一致,如果设置了Object的权限,Object的权限大于Bucket权限。
资源访问控制列表可以在创建资源时设置也可以在资源创建完成后设置,只有Object的拥有者或Bucket的拥有者即创建者才可以进行Object的资源访问控制列表的设置、读取。
资源的权限管理中管理用户对资源访问的权限为对对象存储中的资源授予或删除用户相关权限,授予的权限包括读、读写、写、全部权限和拒绝访问。
对Bucket的读操作为获取该Bucket的元数据、Bucket中的对象名称、读取所有对象的数据以及元数据;对Bucket的写操作为在Bucket中上传对象、更新对象、元数据、重命名以及删除对象操作;对Bucket的读写操作为对Bucket具体读、写操作;对Bucket的全部权限为指定用户具有跟拥有者一样的权限;对Bucket的拒绝访问为不具有任何权限。
对Bucket的读操作包括的API操作有:
list_objects、get_object_metadata、get_object、get_object_to_file、list_buckets。
对Bucket的写操作包括的API操作有:
put_object_from_file,put_object_from_file_auto,put_object,update_object_from_file、update_object、rename_object、set_object_custom_metadata、delete_object、delete_all_object(bucket拥有者)。
Bucket的拥有者具有对其下所有对象的所有权限。
只有Bucket的拥有者即创建者才可以进行BucketACL的设置、读取即set_bucket_acl、get_bucket_acl。
对Object的读操作为列举出对象的数据以及元数据;对Object的写操作为更新对象、元数据以及删除对象操作;对Object的读写操作为对Object具体读、写操作;对Object的全部权限为指定用户具有跟拥有者一样的权限;对Object的拒绝访问为不具有任何权限。
对Object的读操作包括的API操作有:
get_object_metadata、get_object、get_object_to_file。
对Object的写操作包括的API操作有:
update_object_from_file,update_object,rename_object,set_object_custom_metadata、delete_object。
Object拥有者对Obeject具有所有权限。
只有Object的拥有者或Bucket的拥有者即创建者才可以进行ObjectACL的设置、读取。
以上所述的实施例,只是本发明较优选的具体实施方式,本领域的技术人员在本发明技术方案范围内进行的通常变化和替换都应包含在本发明的保护范围内。
Claims (8)
1.一种基于资源的IOSS权限管理方法,其特征在于:该方法包括用户管理和资源的权限管理:
用户管理为资源的权限管理提供用户基础,提供用户的创建、删除和密码更改;
资源的权限管理以资源为单位,包括Bucket和Object两类资源,管理资源访问控制列表和管理用户对资源访问的权限。
2.根据权利要求1所述的基于资源的IOSS权限管理方法,其特征在于:所述用户管理中用户分为管理员用户和普通用户,管理员用户负责创建、删除普通用户,普通用户为管理员用户创建,负责具体对象数据的管理和授权操作。
3.根据权利要求2所述的基于资源的IOSS权限管理方法,其特征在于:资源的权限管理中管理资源访问控制列表为控制用户对资源进行的访问,包括公共读写、公共读、私有和default,其中用户对Bucket的资源访问控制列表的访问包括公共读写、公共读、私有,默认为私有;用户对Object的资源访问控制列表的访问包括公共读写、公共读、私有和default。
4.根据权利要求3所述的基于资源的IOSS权限管理方法,其特征在于:所述用户对Bucket的资源访问控制列表的访问的公共读写为所有用户对Bucket中的对象及Bucket均具有读、写权限;所述用户对Bucket的资源访问控制列表的访问的公共读为所有用户对该Bucket及其中的对象都具有读权限,只有Bucket拥有者或授权的用户具有写权限;所述用户对Bucket的资源访问控制列表的访问的私有为只有Bucket拥有者或授权的用户对Bucket具有读或写权限。
5.根据权利要求4所述的基于资源的IOSS权限管理方法,其特征在于:所述用户对Object的资源访问控制列表的访问的公共读写为所有用户对该Object均具有读写权限;所述用户对Object的资源访问控制列表的访问的公共读为公共读指所有用户对该对象都具有读权限,只有Object拥有者或授权的用户对该Object具有写权限;所述用户对Object的资源访问控制列表的访问的私有为只有Object拥有者或授权的用户对该Object具有读或写权限;所述用户对Object的资源访问控制列表的访问的default为用户对Object的权限继承对Bucket的访问权限。
6.根据权利要求5所述的基于资源的IOSS权限管理方法,其特征在于:资源的权限管理中管理用户对资源访问的权限为对对象存储中的资源授予或删除用户相关权限,授予的权限包括读、读写、写、全部权限和拒绝访问。
7.根据权利要求6所述的基于资源的IOSS权限管理方法,其特征在于:对Bucket的读操作为获取该Bucket的元数据、Bucket中的对象名称、读取所有对象的数据以及元数据;对Bucket的写操作为在Bucket中上传对象、更新对象、元数据、重命名以及删除对象操作;对Bucket的读写操作为对Bucket具体读、写操作;对Bucket的全部权限为指定用户具有跟拥有者一样的权限;对Bucket的拒绝访问为不具有任何权限。
8.根据权利要求7所述的基于资源的IOSS权限管理方法,其特征在于:对Object的读操作为列举出对象的数据以及元数据;对Object的写操作为更新对象、元数据以及删除对象操作;对Object的读写操作为对Object具体读、写操作;对Object的全部权限为指定用户具有跟拥有者一样的权限;对Object的拒绝访问为不具有任何权限。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910689051.2A CN110414211A (zh) | 2019-07-29 | 2019-07-29 | 一种基于资源的ioss权限管理方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910689051.2A CN110414211A (zh) | 2019-07-29 | 2019-07-29 | 一种基于资源的ioss权限管理方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110414211A true CN110414211A (zh) | 2019-11-05 |
Family
ID=68363729
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910689051.2A Pending CN110414211A (zh) | 2019-07-29 | 2019-07-29 | 一种基于资源的ioss权限管理方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110414211A (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102129539A (zh) * | 2011-03-11 | 2011-07-20 | 清华大学 | 基于访问控制列表的数据资源权限管理方法 |
| JP2011258126A (ja) * | 2010-06-11 | 2011-12-22 | Ntt Data Corp | アクセス権限変更装置、アクセス権限変更方法およびプログラム |
| CN104504343A (zh) * | 2014-12-05 | 2015-04-08 | 国云科技股份有限公司 | 一种基于资源粒度的权限控制方法 |
| CN107688753A (zh) * | 2017-09-01 | 2018-02-13 | 郑州云海信息技术有限公司 | 一种acl权限控制的方法与装置 |
| CN108243175A (zh) * | 2016-12-27 | 2018-07-03 | 北京金山云网络技术有限公司 | 一种基于桶策略的访问控制方法及装置 |
-
2019
- 2019-07-29 CN CN201910689051.2A patent/CN110414211A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011258126A (ja) * | 2010-06-11 | 2011-12-22 | Ntt Data Corp | アクセス権限変更装置、アクセス権限変更方法およびプログラム |
| CN102129539A (zh) * | 2011-03-11 | 2011-07-20 | 清华大学 | 基于访问控制列表的数据资源权限管理方法 |
| CN104504343A (zh) * | 2014-12-05 | 2015-04-08 | 国云科技股份有限公司 | 一种基于资源粒度的权限控制方法 |
| CN108243175A (zh) * | 2016-12-27 | 2018-07-03 | 北京金山云网络技术有限公司 | 一种基于桶策略的访问控制方法及装置 |
| CN107688753A (zh) * | 2017-09-01 | 2018-02-13 | 郑州云海信息技术有限公司 | 一种acl权限控制的方法与装置 |
Non-Patent Citations (1)
| Title |
|---|
| 昝风彪: "在ASP.NET中基于角色的权限控制设计与实现", 《科技信息(科学教研)》 * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7792301B2 (en) | Access control and encryption in multi-user systems | |
| US8069269B2 (en) | Methods and apparatus for accessing content in a virtual pool on a content addressable storage system | |
| US10645165B2 (en) | Hybrid cloud | |
| RU2373571C2 (ru) | Системы и способы осуществляемого посредством доступа на уровне мелких структурных единиц управления данными, хранящимися в реляционных базах данных | |
| US8429191B2 (en) | Domain based isolation of objects | |
| US8832389B2 (en) | Domain based access control of physical memory space | |
| US8402514B1 (en) | Hierarchy-aware role-based access control | |
| WO2020081240A1 (en) | Multi-tenant authorization | |
| US20140229455A1 (en) | Systems and methods for scalable object storage | |
| CN102377827A (zh) | 多级云存储***及其存储方法 | |
| JPH04232544A (ja) | 蓄積された文書へのアクセス管理方法 | |
| CN107688753A (zh) | 一种acl权限控制的方法与装置 | |
| CN103562926B (zh) | 隔离应用的被代理项目访问 | |
| CN108132775A (zh) | 一种租户管理***及方法 | |
| CN107180102A (zh) | 一种目标特性数据的存储方法和*** | |
| CN108804936A (zh) | 一种基于分布式存储***acl的权限管理方法及*** | |
| AU2022304619B2 (en) | Co-managing links with a link platform and partner service | |
| EP2725513A1 (en) | Managing permission settings applied to applications | |
| US7539813B1 (en) | Methods and apparatus for segregating a content addressable computer system | |
| CN107566405B (zh) | 一种快速访问和拷贝的存储资源池化方法 | |
| CN113407626A (zh) | 一种基于区块链的规划管控方法、存储介质及终端设备 | |
| CN103294794A (zh) | 一种在线归档和访问文件的*** | |
| CN110414211A (zh) | 一种基于资源的ioss权限管理方法 | |
| CN108255435B (zh) | 一种利用分层树结构控制访问的数据存储*** | |
| CN107766001A (zh) | 一种基于用户群组的存储配额方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20191105 |