應用場景

彈性文件服務支持大規模共享訪問，通過將文件系統在彈性云主機上掛載后可劃分多個子目錄并分配給不同用戶，設置子目錄讀寫權限，可實現多用戶之間的訪問權限隔離。客戶可根據業務需求對子目錄或者子目錄下的文件進行權限訪問控制，適用于安全級別較高的應用場景。

前提條件

• 購買一臺彈性云主機，具體操作請參考創建彈性云主機。
• 購買一個文件系統，具體操作請參考創建文件系統。

操作步驟

步驟一：使用root帳號登錄彈性云主機并添加兩個普通用戶帳號

1. 以root帳號登錄彈性云主機，如何登錄請參考登錄Linux彈性云主機。

2. 添加一個普通用戶帳號，如賬號sfsuser1。執行以下命令:

   useradd sfsuser1
   

   passwd sfsuser1
   

   根據回顯提示修改普通用戶sfsuser1的密碼，創建成功后會自動創建賬號sfsuser1的主目錄“/home/sfsuser1”。

   

3. 重復第2步繼續添加賬號sfsuser2。

步驟二：掛載文件系統至彈性云主機

將文件系統掛載到彈性云主機上的一個本地路徑上，具體操作請參考使用彈性云主機掛載文件系統，如已經掛載可忽略此步驟。

步驟三：在本地路徑創建2個子目錄并更改目錄的屬組

1. 執行 cd /mnt/test切換到本地掛載路徑，“/mnt/test”為本文步驟二中掛載時創建的本地掛載路徑，請根據實際情況替換。

2. 創建兩個子目錄。

   mkdir subdir1 
   mkdir subdir2
   

3. 更改屬組。

   chown sfsuser1:sfsuser1 subdir1
   chown sfsuser2:sfsuser2 subdir2
   

   

步驟四：將2個子目錄分別掛載至新的本地掛載路徑

1. 新建2個新的本地掛載路徑。

   mkdir /mnt/sfsuser1_test
   mkdir /mnt/sfsuser2_test
   

2. 將步驟三中2個子目錄分別掛載至新的本地掛載路徑，掛載地址可在文件系統詳情頁獲取，參考查看文件系統。

   mount -t nfs -o vers=3,nolock,noatime 掛載地址/subdir1 /mnt/sfsuser1_test
   mount -t nfs -o vers=3,nolock,noatime 掛載地址/subdir2 /mnt/sfsuser2_test 
   

步驟五：分別登錄兩個賬號，驗證讀寫權限

1. 執行 su sfsuser1命令使用用戶1（sfsuser1）登錄，驗證讀寫操作。
   
2. 執行 su sfsuser2切換到sfsuser2，驗證訪問用戶sfsuser1子目錄的讀寫權限。驗證可發現，sfsuser2只可讀取用戶sfsuser1的文件，但不具備寫和刪除權限。
   

步驟六：拒絕其它用戶讀取權限

如果想進一步縮小權限，拒絕其他用戶讀權限，可進行以下配置。以修改sfsuser1對其它用戶的讀權限為例：

1. root用戶登錄彈性云主機，修改sfsuser1子目錄的權限為700。chmod命令用來變更文件或目錄的權限。

   chmod 700 /mnt/test/subdir1
   

   

2. 驗證sfsuser2訪問sfsuser1目錄的讀寫權限，sfsuser2無法再次訪問sfsuser1的子目錄。

   

經過以上的實踐配置，基本實現在客戶端配置多用戶訪問彈性文件子目錄的權限的隔離，您可根據業務需求對子目錄或者子目錄下的文件進行權限訪問控制。

下表為目錄或文件權限說明：