Введение

Режимы работы средства (клиентского ПО)

Клиентское ПО представляет возможность работы (открытие сеанса работы с Скала^р Спектр S3 (далее — Спектр S3) в двух режимах – режиме пользователя и привилегированного пользователя. Режим пользователя доступен пользователю, которому назначена встроенная роль «Пользователь».

Режим привилегированного пользователя доступен пользователю, которому назначена соответствующая роль в административном интерфейсе: администратор инфраструктуры, аудитор инфраструктуры, администратор тенанта, аудитор тенанта.

Принципы безопасной работы средства (клиентского ПО)

Безопасная работа клиентского ПО обеспечивается путём реализации ролевого и дискреционного метода управления доступом. Открытие сеанса работы с Спектр S3 предоставляется пользователю со встроенной ролью «Пользователь».

Перечень полномочий субъекта доступа со встроенной ролью «Пользователь» определяется списком управления доступом объекта доступа. Дискреционная модель доступа регламентирована в соответствии с «Скала^р Спектр S3. Формуляр. RU.46968876450001.58.29.12-01 30 0».

Функции и интерфейсы ПО, доступные встроенной роли «Пользователь»

Для встроенной роли Пользователь S3 доступен S3 API интерфейс, предназначенный для доступа к Скала^р Спектр S3 (далее – Спектр S3). Спектр S3 обеспечивает идентификацию и аутентификацию пользователей S3, обработку (проверка состава запроса, полномочий) и проксирование запросов пользователей S3 в объектное хранилище, регистрацию запросов (действий) пользователей S3.

Далее приведён перечень операций и методов REST Amazon S3, которые поддерживаются реализацией протокола Amazon S3 в продукте Спектр S3.

Параметры (настройки) безопасности ПО, доступные встроенной роли «Пользователь», и их безопасных значения

Для встроенной роли «Пользователь» отсутствуют полномочия для определения (настроек) параметров безопасности ПО. Данные настройки доступны только пользователю со встроенными ролями «Администратор инфраструктуры», «Администратор тенанта» и только при использовании административного веб-интерфейса или административного API-интерфейса.

Типы событий безопасности, связанные с доступными пользователю функциями средства (клиентского ПО)

Спектр S3 обеспечивает сбор, запись и хранение информации о следующих действиях пользователей (событий безопасности):

  • AbortMultipartUpload – прервать многокомпонентную загрузку;

  • CompleteMultipartUpload – полная многокомпонентная загрузка;

  • CopyObject – создать копии объекта;

  • CreateBucket – создать корзину;

  • CreateMultipartUpload — многокомпонентная загрузка;

  • DeleteBucket — удалить корзину;

  • DeleteBucketPolicy — удалить политику корзины;

  • DeleteBucketReplication — удалить конфигурации репликации корзины;

  • DeleteBucketWebsite — удалить сайт корзины;

  • DeleteObject — удалить объект;

  • DeleteObjects — удалить объекты;

  • GetBucketAcl — получить список управления доступом корзины;

  • GetBucketLocation — получить локации корзины;

  • GetBucketLogging — получить состояние ведения журнала корзины;

  • GetBucketPolicy — получить политику корзины;

  • GetBucketReplication — получить конфигурацию репликации корзины;

  • GetBucketVersioning — получить состояние управления версиями корзины;

  • GetBucketWebsite — получить конфигурацию веб-сайта корзины;

  • GetObject — получить объект;

  • GetObjectAcl — получить список управления доступом объекта;

  • GetObjectLegalHold — получить текущий статус удержания объекта;

  • GetObjectLockConfiguration — получить конфигурацию блокировки объектов для корзины;

  • GetObjectRetention — получить настройки хранения объекта;

  • HeadBucket — определить, существует ли корзина и есть ли полномочие доступа к ней;

  • HeadObject — извлечь метаданные из объекта;

  • ListBuckets — отобразить список всех корзин;

  • ListMultipartUploads — отобразить список выполняемых многокомпонентных загрузок;

  • ListObjects — вернуть в ответе некоторые или все (до 1000) объекты в корзине;

  • ListObjectsV2 — вернуть в ответе некоторые или все (до 1000) объекты в корзине;

  • ListObjectVersions — вернуть метаданные обо всех версиях объектов в корзине;

  • ListParts — вернуть список частей, которые были загружены для конкретной многокомпонентной загрузки;

  • PutBucketAcl — установить разрешения для корзины с помощью списков управления доступом;

  • PutBucketLogging — задать параметры ведения журнала для корзины, разрешения для тех, кто может просматривать и изменять параметры ведения журнала;

  • PutBucketPolicy — применить политику к корзине;

  • PutBucketReplication — создать конфигурацию репликацииили заменить существующую;

  • PutBucketVersioning — установить состояние управления версиями существующего хранилища;

  • PutBucketWebsite — задать конфигурацию веб-сайта;

  • PutObject — добавить объект в корзину;

  • PutObjectAcl — установить права доступа к конзине;

  • PutObjectLegalHold — применить конфигурацию легального удержания к указанному объекту;

  • PutObjectLockConfiguration — применить конфигурацию блокировки объектов к указанной конзине;

  • PutObjectRetention — применить конфигурацию хранения объектов на объект;

  • PutObjectTagging — присвоить набор тегов объекту, который уже существует в корзине;

  • RestoreObject — восстановить архивную копию объекта;

  • UploadPart — загрузить часть многокомпонентной загрузки;

  • DeleteBucketLifecycle — удалить конфигурацию жизненного цикла из указанной корзины;

  • GetBucketLifecycleConfiguration — получить информацию о конфигуарации жизненного цикла;

  • PutBucketLifecycleConfiguration — создать новую конфигурацию жизненного цикла или заменить текущую.