文档简介:
为主子账号授予指定桶的操作权限
在主账号下创建一个主子账号,主子账号不加入任何用户组,该主子账号没有任何权限。桶拥有者(主账号)或者拥有设置桶策略权限的账号及主子账号可以通过配置桶策略授予主子账号桶的权限。
下面示例以授予主子账号访问桶和上传对象的权限为例。
操作步骤
步骤 1 在OBS管理控制台桶列表中,单击待操作的桶,进入“概览”页面。
步骤 2 在左侧导航栏,单击“权限”,进入权限管理页面。
步骤 3 单击“桶策略>高级桶策略”。
步骤 4 单击“创建桶策略”,系统弹出“创建桶策略”对话框。
步骤 5 配置如下参数,授予主子账号访问桶(列举对象)的权限。
表2-23 授予访问桶的权限的参数配置
|
参数 |
取值 |
|
策略模式 |
自定义模式 |
|
效果 |
Allow |
|
被授权用户 |
l 包含 l 当前账号,并选择需要授权的主子账号 |
|
资源 |
l 包含 l 资源名称不配置 |
|
动作 |
l 包含 l ListBucket |
步骤 6 单击“确定”。
步骤 7 单击“创建桶策略”,系统弹出“创建桶策略”对话框。
步骤 8 配置如下参数,授予主子账号上传对象的权限。
授予用户对象操作权限前,需先授予其访问桶的权限。
表2-24 授予上传对象的权限的参数配置
|
参数 |
取值 |
|
策略模式 |
自定义模式 |
|
效果 |
Allow |
|
被授权用户 |
l 包含 l 当前账号,并选择需要授权的主子账号 |
|
资源 |
l 包含 l 资源名称:* |
|
动作 |
l 包含 l PutObject 说明 本例仅授予上传对象权限。可以根据业务需要选择多个动作,同时授予其他操作权限。“*”代表所有操作。 支持的动作及含义请参见动作。 |
步骤 9 单击“确定”。
验证
使用OBS Browser+用来验证以上授权。
步骤 1 在管理控制台上创建被授权用户的AK/SK。
步骤 2 打开OBS Browser+,配置已获取到的AK/SK,并设置“访问路径”为授权的桶名称。
图2-17 添加新账号-OBS存储
步骤 3 当主账号未授权给用户访问桶权限时,用户用OBS Browser+访问桶时,被拒绝访问。
步骤 4 主账号配置授予给用户访问桶权限后,用户可以用OBS Browser+登录访问桶,桶界面正常显示桶中对象。
步骤 5 此时上传对象到桶中,上传失败。单击页面右上角的 
,进入“任务管理”界面,“状态”为“失败”,失败原因为“拒绝访问”。
步骤 6 主账号配置授予给用户上传对象权限后,用户用OBS Browser+上传对象成功,对象在对象列表中显示。
