云存储部署(云存储方案)

基本介绍

OBS ACL是基于帐号级别的读写权限控制,权限控制细粒度不如桶策略和IAM权限,OBS支持的被授权用户如下表所示:

被授权用户

描述

特定用户

ACL支持通过帐号授予桶/对象的访问权限,授予帐号权限后,帐号下所有具有OBS资源权限的IAM用户都可以拥有此桶/对象的访问权限,当需要为不同IAM用户授予不同的权限时,可以通过桶策略配置

拥有者

桶的拥有者是指创建桶的帐号。桶拥有者默认拥有所有的桶访问权限,其中桶ACL的读取和写入这两种权限永远拥有,且不支持修改,对象的拥有者是上传对象的帐号,而不是对象所属的桶的拥有者。对象拥有者默认永远拥有对象读取权限、ACL的读取和写入权限,且不支持修改

须知:不建议修改桶拥有者对桶的读取和写入权限。

匿名用户

未注册华为云的普通访客。

须知:开启匿名用户的桶/对象访问权限后,所有人都可以在不经过身份认证的情况下,对桶/对象进行访问。

日志投递用户组

日志投递用户组用于投递OBS桶及对象的访问日志。由于OBS本身不能在账户的桶中创建或上传任何文件,因此在需要为桶记录访问日志时,只能由账户授予日志投递用户组一定权限后,OBS才能将访问日志写入指定的日志存储桶中。该用户组仅用于OBS内部的日志记录。

须知:

  • 当日志记录开启后,目标存储桶的日志投递用户组会同步开启桶的写入权限和ACL读取权限。若手动将日志投递用户组的桶写入权限和ACL读取权限关闭,桶的日志记录会失败。

  • Browser+暂不支持配置。

桶ACL的访问权限如表所示:

权限

选项

描述

桶访问权限

读取权限

此权限可以获取该桶内对象列表和桶的元数据

对象读权限

此权限可以获取该桶内对象对象的内容和对象的元数据

写入权限

此权限可以上传、覆盖和删除该桶内任何对象

ACL访问权限

读取权限

此权限可以获取对应的桶的权限控制列表

桶的拥有者默认永远具有ACL的读取权限

写入权限

此权限可以更新对应桶的权限控制列表

桶的拥有者默认永远具有ACL的写入权限

对象ACL的访问权限如表所示:

权限

选项

描述

对象访问权限

读取权限

此权限可以获取该对象内容和元数据

ACL访问权限

读取权限

此权限可以获取对应的对象的权限控制列表

对象的拥有者默认永远具有ACL的读取权限

写入权限

此权限可以更新对象的权限控制列表

对象的拥有者默认永远具有ACL的写入权限

操作实例

ACLs不可读写

Step 1:配置桶ACLs策略中的\\”公共访问权限\\”中的\\”ACL访问权限\\”为\\”不可读不可写\\”

Step 2:初始桶策略如下,不包含ListBucket

云存储部署(云存储方案)

Step 3:直接访问可以看到无法列举对象信息

云存储部署(云存储方案)

Step 4:查看acl发现无法访问

云存储部署(云存储方案)

ACLs只可读取

Step 1:配置如下

云存储部署(云存储方案)

Step 2:查看acls信息如下

云存储部署(云存储方案)

请求的响应中以消息元素的形式返回桶的ACL信息,元素的具体意义如下表所示:

元素

元素说明

Owner

桶的所有者信息

类型:XML

ID

用户所属租户的租户Id

类型:字符串

AccessControlList

访问控制列表,记录了对该桶有访问权限的用户列表和这些用户具有的权限

类型:XML

Grant

用于标记用户及用户的权限

类型:XML

Grantee

记录用户信息

类型:XML

Canned

向所有人授予权限

类型:枚举类型,其值只能是Everyone

Delivered

桶的ACL是否向桶内对象传递

类型:布尔类型

Permission

指定的用户对该桶所具有的操作权限

类型:字符串

Step 3:从上面的acls查看结果可以看到此时Everyone都具备读取桶ACLs策略的权限,那么我们这里进行一个简单的尝试来写ACLs,发现失败

云存储部署(云存储方案)

更改桶的ACL请求需要在消息元素中带上ACL信息,元素的具体含义如下表所示:

元素名称

描述

是否必选

Owner

桶的所有者信息,包含ID

类型:XML

ID

被授权用户的租户Id

类型:字符串

Grant

用于标记用户及用户的权限。单个桶的ACL,Grant元素不能超过100个

类型:XML

Grantee

记录用户信息

类型:XML

Canned

向所有人授予权限

取值范围:Everyone

类型:枚举类型

Delivered

桶的ACL是否向桶内对象传递。作用于桶内所有对象

类型:布尔类型。默认false

Permission

授予的权限。详情参见桶ACL访问权限

取值范围:READ | WRITE | FULL_CONTROL

类型:枚举类型

AccessControlList

访问控制列表,包含Grant、 Grantee、Permission三个元素

类型:XML

Step 4:此时我们的ACP依旧不变

云存储部署(云存储方案)

ACLs可读可写

Step 1:配置如下

云存储部署(云存储方案)

Step 2:查看acls信息如下

云存储部署(云存储方案)

Step 3:从上面的acls查看结果可以看到此时Everyone都具备读取和写桶ACLs策略的权限,那么我们这里进行一个简单的尝试来写ACLs

云存储部署(云存储方案)

Step 3:从上面的回显结果可以看到成功改写策略,之后我们转至桶ACLs页面查看对应的策略的变化

云存储部署(云存储方案)

Step 4:之后再次查看ACLs策略时发现已更改为FULL_CONTROL

Step 5:可以看到此时我们成功改写了桶ACLs中\\”公共访问权限-匿名用户\\”的桶访问权限,之后我们再来查看桶对象时可以看到可以成功读取桶的对象

文末小结

桶的ACLs策略配置不当时,攻击者可以通过ACLs的写ACL策略来实现桶对对象的访问

原创文章,作者:七芒星实验室,如若转载,请注明出处:https://www.sudun.com/ask/34374.html

(0)
七芒星实验室's avatar七芒星实验室
上一篇 2024年4月11日 下午7:26
下一篇 2024年4月11日 下午7:28

相关推荐

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注