安全策略定义OOS资源的访问权限，作用于所配置的存储桶及存储桶内文件（Object）。OOS存储桶拥有者通过安全策略可为IAM用户或其他帐号授权存储桶及存储桶内文件的操作权限，具体包括：

• 允许/拒绝Bucket级别的权限。
• 允许/拒绝Object级别的权限。

存储桶的安全策略是由效果、被授权用户、资源、动作和条件5个桶策略基本元素共同决定，详细的Bucket Policy格式请参见Bucket Policy元素。

说明
如果存储桶（Bucket）的属性为私有或者公共读，配置允许任何用户可以向该Bucket写文件的策略时，需要联系天翼云客服评估审核后开通此功能。

在“存储桶列表”页面点击“属性”>“安全策略”，进入“安全策略”页面，在该页面点击“编辑策略”，可以添加Bucket Policy。

Policy示例如下：

• Referer设置（防盗链设置）

  如果要配置名称为"example-bucket"的Bucket的访问策略，只允许Referer头为以“https://www.ctyun.cn/”或“https://ctyun.cn/”开头的https请求访问此Bucket，那么可以采用如下的配置方式。

{
  "Version":"2012-10-17",
  "Id":"*",
  "Statement":[
    {
      "Sid":"*",
      "Effect":"Allow",
      "Principal":{ "CTYUN": ["*"] },
      "Action":"oos:GetObject",
      "Resource":"arn:ctyun:oos:::example-bucket/*",
      "Condition":{
        "StringLike":{
          "ctyun:Referer":[
            "https://www.ctyun.cn/*",
            "https://ctyun.cn/*"
          ]
        }
      }
    }
  ]
}

• IP设置

  如果只允许IP地址在192.168.143.0/24范围内的IP访问存储桶example-bucket，不允许IP地址192.168.143.188/32访问，那么可以采用如下的配置方式。

{
    "Version": "2012-10-17",
    "Id": "OOSPolicyId1",
    "Statement": [
        {
            "Sid": "IPAllow",
            "Effect": "Allow",
            "Principal": {
                "CTYUN": "*"
            },
            "Action": "oos:GetObject",
            "Resource": "arn:ctyun:oos:::example-bucket/*",
            "Condition" : {
                "IpAddress" : {
                    "ctyun:SourceIp": "192.168.143.0/24"
                },
                "NotIpAddress" : {
                    "ctyun:SourceIp": "192.168.143.188/32"
                }
            }
        }
    ]
}