百度智能云对象存储BOS IAM主子用户访问控制（开发者）

对象存储BOS

简介/价格/文档

百度智能云对象存储BOS IAM主子用户访问控制（开发者）

文档简介：

在您的百度云账号下面，通过 IAM 可以创建具有自己 AccessKey 的子用户。您的百度云账号被称为主账号，创建出来的账号被称为子用户，使用子用户的 AccessKey 只能使用主账号授权的操作和资源，BOS已经接入IAM子用户系统，通过控制台多用户访问控制创建IAM子用户，您可以实现：

*此产品及展示信息均由百度智能云官方提供。免费试用咨询热线：400-826-7010，为您提供专业的售前咨询，让您快速了解云产品，助您轻松上云！微信咨询

免费试用、价格特惠

文档详情

概述

同账号授权：您可以授权自己账号下的子用户去管理自己账号下的云资源（Bucket和Object）。
跨账号授权：您可以授权自己账号下的子用户去管理他人账号下的云资源（Bucket和Object）。

应用场景

企业子账号管理与分权

企业A使用百度智能云账号购买了多种云资源（如BCC实例/RDS实例/BLB实例/BOS存储/...），A的员工需要操作这些云资源包括购买、运维、线上应用等。不同岗位员工的工作职责不一样，需要的权限也不一样。出于安全考虑，A不希望将主账号的密钥直接公布给员工，而希望能给不同岗位员工创建相应的用户子账号。用户子账号只能在授权的前提下操作资源，不需要进行独立的计量计费，所有资源费用都归属主账号。A主账号随时可以撤销子账号的权限，也可以随时删除其创建的子账号。
企业之间的资源操作与授权管理

A和B代表不同的企业。A购买了多种云资源（如BCC实例/RDS实例/BLB实例/BOS存储/...）来开展业务。A希望能专注于业务系统，而将云资源运维监控管理等任务委托或授权给企业B。企业B也可以进一步将代运维任务分配给B的员工，即B为其员工创建相应的用户子账号供其使用。B可以精细控制其员工对A的云资源操作权限。如果A和B的这种代运维合同终止，A随时可以撤销对B的授权。

策略文件说明

IAM主用户授权给子用户通过关联策略实现，策略文件本质上是一个JSON文件，文件中permission和resource用来定义权限和资源。策略文件对应的空白模版如下：

{
    "accessControlList": [
        {
            "service": "bce:bos",
            "region": "*",
            "effect": "Allow",
            "permission": [],
            "resource": [],
        }
    ]
}

策略文件中各字段的含义如下：

字段	数据类型	说明	是否必须	父节点
accessControlList	list	标识acl主体的开始，由一或多组acl配置项组成，其中acl配置项由service+region+effect+permission+resource组合而成。	是	无
+service	string	acl配置项影响的服务组件。	是	accessControlList
+region	string	acl配置项影响的区域，取值范围为bj、gz和。其中bj代表北京region，gz代表广州region，代表示所有区域。	是	accessControlList
+effect	string	指定与该条acl配置项匹配的Request能否执行，取值为Allow或Deny。Allow表示可以执行Deny表示拒绝执行。	是	accessControlList
+permission	list	ACL配置项所影响的权限，取值范围为READ、LIST、WRITE、FULL_CONTROL和ListBuckets，不支持配置通配符*。每个permission的具体含义见下表。	是	accessControlList
+resource	list	ACL配置项所影响的资源，支持通配符。如：，<BucketName>, <BucketName>/<Prefix>; ，<BucketName>/<ObjectKey>。IAM在校验请求时，对resource字段是做严格字符串匹配，因此若该字段被配置为"abc"，则表明该条规则仅对名为“abc”的bucket相关的bucket级别操作生效，而对object级别操作不生效。比如说请求API为操作bucket ”abc“下所属某object（如”obj01“），则BOS传给IAM的资源字段为“abc/obj01”，与策略文件中所配置resource（"abc"）会匹配不上，该条规则不生效。	否	accessControlList

每种permission所对应的BOS API如下：

permission	对应的BOS API
ListBuckets	GetService(ListBuckets)
READ	GetBucketLocation, HeadBucket, GetObject, GetObjectMeta, ListParts
LIST	ListObjects, ListMultipartUploads
WRITE	PutObject, InitiateMultipartUpload, UploadPart, CompleteMultipartUpload, AbortMultipartUpload, DeleteObject, DeleteMultipleObjects, AppendObject, PostObject
FULL_CONTROL	READ、WRITE、LIST对应的API, 还包含PutBucketACL, GetBucketACL, PutBucketCors, GetBucketCors, DeleteBucketCors, PutBucketLogging, GetBucketLogging, DeleteBucketLogging

系统策略配置说明

为了方便用户使用，百度智能云内置了两个常用策略作为系统策略：BosFullAccess和BosListAndReadAccess。

BosFullAccess：管理百度智能云对象存储服务（BOS）的权限。
BosListAndReadAccess：只读访问百度智能云对象存储服务（BOS）的权限。

说明：

系统策略无法修改且不能删除。

在“策略管理”页面点击策略名称对应操作列的“查看”按钮，可以查看两个系统策略对应的JSON文件。

自定义策略配置说明

如果您需要定制更精细的权限控制，可以创建一个自定义策略。自定义策略即用户通过策略文件定义子账号的资源和权限，通过自定义策略用户可以更精准的控制权限和资源。策略本质上为JSON文件，您可以参考策略文件说明，也可以参考以下典型场景示例。示例中假设bucket名为mybucket。

授权子用户某个Bucket的完全管理权限（使用控制台管理）

{
    "accessControlList": [
        {
            "service": "bce:bos",
            "region": "*",
            "effect": "Allow",
            "permission": [
                "FULL_CONTROL"
            ],
            "resource": [
                "mybucket",
                "mybucket/*"
            ]
        },
        {
            "service": "bce:bos",
            "region": "*",
            "effect": "Allow",
            "permission": [
                "ListBuckets"
            ],
            "resource": [
                "*"
            ]
        }
    ]
}

注意：

resource字段需要同时写mybucket和mybucket/*。

如果您希望通过控制台管理某个bucket，那还需要有ListBuckets的权限，不然Bucket列表是打不开的。

子用户支持实现跨账号资源授权。比如这里的mybucket可以是其他账号下的资源。假设这里有两个账号，账号A下有mybucket，账号B下有个子用户。账号A可以首先通过更新Bucket权限来把mybucket授权给账号B来使用。然后账号B可以创建一个自定义策略来进一步把管理mybucket的权限授予子用户。

授权子用户某个Bucket的完全管理权限（不使用控制台管理和BOS桌面）

{
    "accessControlList": [
        {
            "service": "bce:bos",
            "region": "*",
            "effect": "Allow",
            "permission": [
                "FULL_CONTROL"
            ],
            "resource": [
                "mybucket",
                "mybucket/*"
            ]
        }
    ]
}

注意：

resource字段需要同时写mybucket和mybucket/*。

如果不通过控制台来管理bucket，则无需开放ListBuckets权限。您可以直接通过BOS周边工具、SDK来使用BOS服务。

授权子用户对某个prefix（目录）的只读权限

假设某bucket用于存放照片，照片按照拍摄地点存放，每个拍摄地点下有年份子目录。现在需要授予子用户读取mybucket/shanghai/2013/目录的只读权限。目录结构如下：

mybucket //bucket
	|-- beijing
	|	|--2010
	|	|--2011
	|-- shanghai
	|	|--2012
	|	|--2013 //授予此目录的只读权限
	|--shenzhen
		|--2014
		|--2015

假设子用户已经知道所有文件的路径，不需要列出文件的权限：

{
    "accessControlList": [
        {
            "service": "bce:bos",
            "region": "*",
            "effect": "Allow",
            "permission": [
                "READ"
            ],
            "resource": [
                "mybucket/shanghai/2013/*"
            ]
        }
    ]
}

相似文档

百度智能云对象存储BOS多AZ存储（开发者）
开启多AZ存储后，BOS会将用户的数据分散存放在同一地域下的多个可用区内。多AZ存储可以提供强大的容灾能力，当某个可用区因物理原因不可用时，BOS仍然能保障数据的正常访问，从而保证业务的连续性。
百度智能云对象存储BOS数据同步（开发者）
数据同步 (Replication) 是 BOS 数据中心 (Region) 的存储空间 (Bucket) 之间自动、异步复制文件 (Object) 的功能，它会将 Object 的创建、更新和删除等操作从源存储空间复制到目标存储空间。
百度智能云对象存储BOS事件通知（开发者）
BOS事件通知功能，是基于BOS数据处理框架V2.0生成的一套智能触发平台。开发者可基于平台提供的功能，定义业务关注的Bucket中发生的数据行为，BOS会监测Bucket中发生的Put Object、Append Object等行为，向用户的下游业务系统提供触发通知。
百度智能云对象存储BOS图像审核（开发者）
图像审核服务是百度智能云对外提供的图像智能审核服务，支持对图像的多个维度进行审核，包括色情识别、暴恐识别、政治敏感识别、恶心图识别、广告识别等。图像审核应用场景广泛，例如游戏、社交、论坛、生活服务类、UGC等场景。
百度智能云对象存储BOS静态网站托管（开发者）
BOS支持用户将静态网站托管在Bucket上，实现网站轻量化运维。设置生效后，用户可通过直接访问该Bucket的域名访问该托管网站。静态网站是指网站内容全部为HTML、JPG等静态化资源，不包含诸如 PHP、JSP 或 ASP.NET 等服务器端脚本。

文档中心

全民上云·上云补贴申领

免费试用（限企业）

概述

应用场景

策略文件说明

系统策略配置说明

自定义策略配置说明