基本介绍
OBS ACL是基于帐号级别的读写权限控制,权限控制细粒度不如桶策略和IAM权限,OBS支持的被授权用户如下表所示:
|
被授权用户 |
描述 |
|---|---|
|
特定用户 |
ACL支持通过帐号授予桶/对象的访问权限,授予帐号权限后,帐号下所有具有OBS资源权限的IAM用户都可以拥有此桶/对象的访问权限,当需要为不同IAM用户授予不同的权限时,可以通过桶策略配置 |
|
拥有者 |
桶的拥有者是指创建桶的帐号。桶拥有者默认拥有所有的桶访问权限,其中桶ACL的读取和写入这两种权限永远拥有,且不支持修改,对象的拥有者是上传对象的帐号,而不是对象所属的桶的拥有者。对象拥有者默认永远拥有对象读取权限、ACL的读取和写入权限,且不支持修改 须知:不建议修改桶拥有者对桶的读取和写入权限。 |
|
匿名用户 |
未注册华为云的普通访客。 须知:开启匿名用户的桶/对象访问权限后,所有人都可以在不经过身份认证的情况下,对桶/对象进行访问。 |
|
日志投递用户组 |
日志投递用户组用于投递OBS桶及对象的访问日志。由于OBS本身不能在账户的桶中创建或上传任何文件,因此在需要为桶记录访问日志时,只能由账户授予日志投递用户组一定权限后,OBS才能将访问日志写入指定的日志存储桶中。该用户组仅用于OBS内部的日志记录。 须知:
|
桶ACL的访问权限如表所示:
|
权限 |
选项 |
描述 |
|---|---|---|
|
桶访问权限 |
读取权限 |
此权限可以获取该桶内对象列表和桶的元数据 |
|
对象读权限 |
此权限可以获取该桶内对象对象的内容和对象的元数据 |
|
|
写入权限 |
此权限可以上传、覆盖和删除该桶内任何对象 |
|
|
ACL访问权限 |
读取权限 |
此权限可以获取对应的桶的权限控制列表 桶的拥有者默认永远具有ACL的读取权限 |
|
写入权限 |
此权限可以更新对应桶的权限控制列表 桶的拥有者默认永远具有ACL的写入权限 |
对象ACL的访问权限如表所示:
|
权限 |
选项 |
描述 |
|---|---|---|
|
对象访问权限 |
读取权限 |
此权限可以获取该对象内容和元数据 |
|
ACL访问权限 |
读取权限 |
此权限可以获取对应的对象的权限控制列表 对象的拥有者默认永远具有ACL的读取权限 |
|
写入权限 |
此权限可以更新对象的权限控制列表 对象的拥有者默认永远具有ACL的写入权限 |
操作实例
ACLs不可读写
Step 1:配置桶ACLs策略中的\\”公共访问权限\\”中的\\”ACL访问权限\\”为\\”不可读不可写\\”
Step 2:初始桶策略如下,不包含ListBucket
Step 3:直接访问可以看到无法列举对象信息
Step 4:查看acl发现无法访问
ACLs只可读取
Step 1:配置如下
Step 2:查看acls信息如下
请求的响应中以消息元素的形式返回桶的ACL信息,元素的具体意义如下表所示:
|
元素 |
元素说明 |
|---|---|
|
Owner |
桶的所有者信息 类型:XML |
|
ID |
用户所属租户的租户Id 类型:字符串 |
|
AccessControlList |
访问控制列表,记录了对该桶有访问权限的用户列表和这些用户具有的权限 类型:XML |
|
Grant |
用于标记用户及用户的权限 类型:XML |
|
Grantee |
记录用户信息 类型:XML |
|
Canned |
向所有人授予权限 类型:枚举类型,其值只能是Everyone |
|
Delivered |
桶的ACL是否向桶内对象传递 类型:布尔类型 |
|
Permission |
指定的用户对该桶所具有的操作权限 类型:字符串 |
Step 3:从上面的acls查看结果可以看到此时Everyone都具备读取桶ACLs策略的权限,那么我们这里进行一个简单的尝试来写ACLs,发现失败
更改桶的ACL请求需要在消息元素中带上ACL信息,元素的具体含义如下表所示:
|
元素名称 |
描述 |
是否必选 |
|---|---|---|
|
Owner |
桶的所有者信息,包含ID 类型:XML |
是 |
|
ID |
被授权用户的租户Id 类型:字符串 |
是 |
|
Grant |
用于标记用户及用户的权限。单个桶的ACL,Grant元素不能超过100个 类型:XML |
否 |
|
Grantee |
记录用户信息 类型:XML |
否 |
|
Canned |
向所有人授予权限 取值范围:Everyone 类型:枚举类型 |
否 |
|
Delivered |
桶的ACL是否向桶内对象传递。作用于桶内所有对象 类型:布尔类型。默认false |
否 |
|
Permission |
授予的权限。详情参见桶ACL访问权限 取值范围:READ | WRITE | FULL_CONTROL 类型:枚举类型 |
否 |
|
AccessControlList |
访问控制列表,包含Grant、 Grantee、Permission三个元素 类型:XML |
是 |
Step 4:此时我们的ACP依旧不变
ACLs可读可写
Step 1:配置如下
Step 2:查看acls信息如下
Step 3:从上面的acls查看结果可以看到此时Everyone都具备读取和写桶ACLs策略的权限,那么我们这里进行一个简单的尝试来写ACLs
Step 3:从上面的回显结果可以看到成功改写策略,之后我们转至桶ACLs页面查看对应的策略的变化
Step 4:之后再次查看ACLs策略时发现已更改为FULL_CONTROL
Step 5:可以看到此时我们成功改写了桶ACLs中\\”公共访问权限-匿名用户\\”的桶访问权限,之后我们再来查看桶对象时可以看到可以成功读取桶的对象
文末小结
桶的ACLs策略配置不当时,攻击者可以通过ACLs的写ACL策略来实现桶对对象的访问
原创文章,作者:七芒星实验室,如若转载,请注明出处:https://www.sudun.com/ask/34374.html
