在主帐号下创建一个IAM用户,IAM用户不加入任何用户组,该IAM用户没有任何权限。桶拥有者(主帐号)或者拥有设置桶策略权限的帐号及IAM用户可以通过配置桶策略授予IAM用户桶的权限。
下面示例以授予IAM用户访问桶和上传对象的权限为例。
操作步骤
步骤 1 在桶列表单击待操作的桶,进入“对象”页面。
步骤 2 在左侧导航栏,单击“访问权限控制 > 桶策略”。
步骤 3 单击“创建”。
步骤 4 在桶策略模板第一行,单击右侧的“自定义创建”。
步骤 5 配置如下参数,授予IAM用户访问桶(列举对象)和上传对象的权限。
参数 说明 策略配置方式 可视化视图 策略名称 自定义 策略内容 允许/拒绝 允许 被授权用户
授权用户:当前帐号
子用户:选择需要授权的IAM用户
用户策略:包含以上用户
资源
资源范围:同时选择当前桶和桶内对象,桶内对象选择所有对象
资源策略:包含以上资源
动作
选择动作:ListBucket和PutObject
说明
操作策略:包含以上动作
本例对象动作仅授予上传对象权限。可以根据业务需要选择多个动作,同时授予其他操作权限。“*”代表所有操作。
步骤 6 单击右下角的“配置确认”。
步骤 7 单击右下角的“创建”,完成桶策略创建。
验证
使用OBS Browser+用来验证以上授权。
步骤 1 在管理控制台上创建被授权用户的访问密钥(AK/SK)。
步骤 2 打开OBS Browser+,配置已获取到的AK/SK,并设置“访问路径”为授权的桶名称。
步骤 3 当主帐号未授权给用户访问桶权限时,用户用OBS Browser+访问桶时,被拒绝访问。
步骤 4 主帐号配置授予给用户访问桶权限后,用户可以用OBS Browser+登录访问桶,桶界面正常显示桶中对象。
步骤 5 此时上传对象到桶中,上传失败。
步骤 6 主帐号配置授予给用户上传对象权限后,用户用OBS Browser+上传对象成功,对象在对象列表中显示。