文件访问规则
概述
管理员可以对文件进行安全访问控制,通过为文件设置访问规则,实现控制人员的文件访问行为。
访问规则
访问规则是指以资源(文件/文件夹/空间)为视角的策略,表达资源可以被主体(人员/组织/单位等)执行的访问行为,可以在资源上进行查看和编辑。
访问规则和访问权限仅是主语视角不同,访问权限的主语是主体,而访问规则的主语是资源,但产生的作用是一致的,在系统内部实际都会被转换为以主体为主语的策略。
例如,管理员指定资源word.zip的访问规则是:word.zip 可以被小明执行下载行为,则在系统内部转换后对应的策略是:允许小明对word.zip 执行下载行为,这时的主语为小明,鉴权机制以主体作为主语计算最终权限。
访问规则按作用类型分为:允许规则和拒绝规则。允许权限用于表达允许资源可以被谁执行什么操作行为,拒绝权限用于表达拒绝资源可以被谁执行什么操作行为。拒绝规则优先级大于允许规则,即当资源同时拥有允许和拒绝规则时,鉴权结果为以拒绝规则为准。
继承访问规则
主体的所有权限由私有规则和继承规则两部分组成,私有规则是为资源设置的规则,继承规则是根据文件路径逐层递推累加规则后得出的所有规则,私有规则优先级大于继承规则。
例如,word.zip 的所有访问规则,继承自空间、应用软件、办公软件 三个文件夹的规则 :
管理访问规则
管理员可以对文件空间、文件夹、文件的访问规则进行管理,实现控制谁可以对资源进行访问。为了便于解释,以下将 文件空间、文件夹、文件统称为资源。
为资源添加访问规则时,需要选择作用、人员/组织、访问行为,文件的访问行为包括:显示列表、预览内容、下载、编辑、新建、移动、重命名、删除、分享等,为了方便还可以将多个访问行为定义为一个行为组,例如可以将 显示列表、预览内容、下载三个行为定义为只读行为组,这样后续设置其他资源的只读访问规则时就比较便捷了。
添加访问规则后可以在规则列表中进行编辑和删除操作,批量操作可以提高工作效率,也被很好的支持。
规则组
规则组用于对文件批量授权不同组织/人员的访问行为,可以提高管理员权限管理效率。
例如:一些在不同路径下的技术机密文件夹,需要配置访问规则:可以被小明、小刚等6人编辑,而小王、小高等10人仅可查看。
| 人员 | 行为/组 |
|---|---|
| 小明、小刚等6人 | 查看/编辑 |
| 小王、小高等10人 | 查看 |
如果没有规则组功能,我们需要为文件分别指定每个人员的访问规则,当资源比较多时,显然这种重复操作费时费力,也很容易出错。
有了规则组功能,就可以创建一个包含多条访问规则的技术机密资源的规则组。当为这些技术机密资源对应的文件指定访问规则时,直接为其添加'技术机密资源的规则组即可,以此简化操作步骤。