2.4.25. S3 버킷 정책

Ceph Object Gateway는 버킷에 적용된 Amazon S3 정책 언어의 하위 집합을 지원합니다.

관리자는 s3cmd 명령을 사용하여 정책을 설정하거나 삭제할 수 있습니다.

$ cat > examplepol
{
  "Version": "2012-10-17",
  "Statement": [{
    "Effect": "Allow",
    "Principal": {"AWS": ["arn:aws:iam::usfolks:user/fred"]},
    "Action": "s3:PutObjectAcl",
    "Resource": [
      "arn:aws:s3:::happybucket/*"
    ]
  }]
}

$ s3cmd setpolicy examplepol s3://happybucket
$ s3cmd delpolicy s3://happybucket

Ceph Object Gateway는 Amazon 12자리 계정 ID 대신 RGW '테넌트' 식별자를 사용합니다. AWS(Amazon Web Service) S3와 Ceph Object Gateway S3 간에 정책을 사용하려는 Ceph Object Gateway 관리자는 사용자를 생성할 때 Amazon 계정 ID를 테넌트 ID로 사용해야 합니다.

AWS S3에서는 모든 테넌트가 단일 네임스페이스를 공유합니다. 대조적으로 Ceph Object Gateway는 모든 테넌트에 버킷의 자체 네임스페이스를 제공합니다. 현재 다른 테넌트에 속하는 버킷에 액세스하려고 하는 Ceph Object Gateway 클라이언트는 S3 요청에서 tenant:bucket 으로 주소를 지정해야 합니다.

AWS에서 버킷 정책은 다른 계정에 대한 액세스 권한을 부여할 수 있으며 해당 계정 소유자가 사용자 권한을 가진 개별 사용자에게 액세스 권한을 부여할 수 있습니다. Ceph Object Gateway는 아직 사용자, 역할 및 그룹 권한을 지원하지 않으므로 계정 소유자가 개별 사용자에게 직접 액세스 권한을 부여해야 합니다.

버킷 정책은 문자열 보간을 지원하지 않습니다.

Ceph Object Gateway는 다음과 같은 조건 키를 지원합니다.

Ceph Object Gateway ON은 ListBucket 작업에 대해 다음 조건 키를만 지원합니다.

Ceph Object Gateway는 정책에 지정된 보안 주체와 비교하여 Swift 자격 증명과 일치합니다.