天翼云对象存储（OOS经典版）II型IAM策略

对象存储

简介/价格/文档

天翼云对象存储（OOS经典版）II型IAM策略

文档简介：

通过IAM，您可以在云账号中创建主子账号，并使用策略来控制主子账号对云资源的访问范围。 IAM策略是作用于云资源的，IAM策略定义了允许和拒绝的访问操作，以此实现云资源权限访问控制。对于OBS，IAM策略的OBS权限是作用于OBS所有的桶和对象的。

*产品来源：中国电信天翼云。免费试用咨询热线：400-826-7010，为您提供专业的售前咨询，让您快速了解云产品，助您轻松上云！微信咨询

免费试用、价格特惠

文档详情

IAM策略

通过IAM，您可以在云账号中创建主子账号，并使用策略来控制主子账号对云资源的访问范围。

IAM策略是作用于云资源的，IAM策略定义了允许和拒绝的访问操作，以此实现云资源权限访问控制。

对于OBS，IAM策略的OBS权限是作用于OBS所有的桶和对象的。如果要授予主子账号操作OBS资源的权限，则需要向用户所属的用户组授予一个或多个OBS权限集。

IAM策略的OBS权限详情请参见权限管理。

IAM策略应用场景

IAM策略主要面向对同账号下主子账号授权的场景：

使用策略控制账号下整个云资源的权限时，使用IAM策略授权。

使用策略控制账号下OBS所有的桶和对象的权限时，使用IAM策略授权。

相似文档

天翼云对象存储（OOS经典版）II型桶策略和对象策略
桶和对象的拥有者桶的拥有者是创建桶的账号。一个账号下的主子账号创建的桶，桶拥有者为该主子账号的父级账号。对象的拥有者是上传对象的账号，而不是对象所属的桶的拥有者。例如，如果账号B被授予访问账号A的桶的权限，然后账号B上传一个文件到桶中，则账号B是对象的拥有者，而不是账号A。
天翼云对象存储（OOS经典版）II型桶ACL和对象ACL
访问控制列表（Access Control List，ACL）是一个指定被授权者和所授予权限的授权列表。 OBS桶和对象的ACL是基于账号的访问控制，默认情况下，创建桶和对象时会同步创建ACL，授权拥有者对桶和对象资源的完全控制权限。 OBS ACL是基于账号级别的读写权限控制，权限控制细粒度不如桶策略和IAM策略。
天翼云对象存储（OOS经典版）II型桶策略和ACL的关系
桶ACL和桶策略的映射关系桶ACL用于授予桶基本的读写权限，桶策略高级设置中支持更多在桶上可以执行的动作。桶策略是对桶ACL的补充，除了限定的只能由桶ACL授予日志投递用户组权限外，更多时候桶策略可以替代桶ACL管理桶的访问权限。桶ACL访问权限和桶策略动作的映射关系如表2-11所示。
天翼云对象存储（OOS经典版）II型访问控制机制冲突时，如何工作
基于最小权限原则，权限控制策略的结果默认为Deny，显式的Deny始终优先于Allow。例如，IAM策略授权了用户对对象的访问权限，但是桶策略拒绝了该用户访问对象的权限，且没有ACL时，该用户不能访问对象。没有策略授权Allow权限时，默认情况即为拒绝访问权限。当有策略授权Allow权限，且没有其他策略Deny该权限时，Allow的权限才能允许访问。
天翼云对象存储（OOS经典版）II型桶策略的效果
桶策略的效果，具体表现为拒绝或允许请求。 Allow：指定本条桶策略描述的权限为接受请求。 Deny：指定本条桶策略描述的权限为拒绝请求。当桶策略中既有Allow又有Deny的授权语句时，遵循Deny优先的原则，其判定逻辑如下：图2-10 高级桶策略Allow和Deny冲突时逻辑判定

文档中心

全民上云·上云补贴申领

免费试用（限企业）

IAM策略