2.4.25. S3 存储桶策略

Ceph 对象网关支持应用到 bucket 的 Amazon S3 策略语言的子集。

管理员可以使用 s3cmd 命令来设置或删除策略。

$ cat > examplepol
{
  "Version": "2012-10-17",
  "Statement": [{
    "Effect": "Allow",
    "Principal": {"AWS": ["arn:aws:iam::usfolks:user/fred"]},
    "Action": "s3:PutObjectAcl",
    "Resource": [
      "arn:aws:s3:::happybucket/*"
    ]
  }]
}

$ s3cmd setpolicy examplepol s3://happybucket
$ s3cmd delpolicy s3://happybucket

Ceph 对象网关使用 RGW 的"租户"标识符来代替 Amazon twelve-bit 帐户 ID。希望使用 Amazon Web Service(AWS)S3 和 Ceph 对象网关 S3 之间的策略，必须在创建用户时将 Amazon 帐户 ID 用作租户 ID。

使用 AWS S3 时，所有租户共享一个命名空间。与之相反，Ceph 对象网关为每个租户提供自己的 bucket 命名空间。目前，Ceph 对象网关客户端试图访问属于另一个租户 MUST 地址的 bucket，作为 S3 请求中的 tenant:bucket。

在 AWS 中，存储桶策略可以授予其他帐户的访问权限，然后该帐户所有者可以向具有用户权限的单独用户授予访问权限。由于 Ceph 对象网关尚不支持用户、角色和组权限，因此帐户所有者需要直接向个别用户授予访问权限。

bucket 策略 不支持 字符串插值。

Ceph 对象网关支持以下条件键：

Ceph 对象网关仅支持以下条件键进行 ListBucket 操作：

Ceph 对象网关将 Swift 凭据与策略中指定的主体匹配。