用户身份管理和访问控制(Identity and Access Management,简称IAM)是OOS为用户提供的用户身份与权限管理服务,您可以使用IAM创建、管理用户账号,并对这些账号进行权限分配,方便资源管理。
在OOS控制台,使用访问控制创建的用户为IAM用户,也称子用户。对于IAM用户,拥有相应的权限才可以对控制台进行操作,各项操作需要的权限详见下面各表。
统计
| 操作 | 需具备的权限 |
|---|---|
| 统计 | statistics:GetAccountStatistcsSummary |
存储桶管理
| 操作 | 需具备的权限 |
|---|---|
| 创建存储桶 | oos:PutBucket、oos:GetRegions 建议同时赋予的权限:oos:ListAllMyBucket |
| 存储桶列表 | oos:ListAllMyBucket |
| 删除存储桶 | oos:ListAllMyBucket、oos:DeleteBucket |
| 查看/修改存储桶属性 | oos:ListAllMyBucket、oos:GetBucketAcl、oos:PutBucket |
| 区域属性 | oos:ListAllMyBucket、oos:GetBucketLocation、oos:PutBucket、oos:GetRegions、oos:GetBucketAcl |
| 安全策略 | oos:ListAllMyBucket、oos:GetBucketPolicy、oos:PutBucketPolicy、oos:DeleteBucketPolicy |
| 网站管理 | oos:ListAllMyBucket、oos:GetBucketWebSite、oos:PutBucketWebSite、oos:DeleteBucketWebSite、oos:GetRegions |
| 日志 | oos:ListAllMyBucket、oos:GetBucketLogging、oos:PutBucketLogging |
| 生命周期 | oos:ListAllMyBucket、oos:GetLifecycleConfiguration、oos:PutLifecycleConfiguration |
| 跨域设置 | oos:ListAllMyBucket、oos:GetBucketCORS、oos:PutBucketCORS |
| 合规保留 | oos:ListAllMyBucket、oos:GetBucketObjectLockConfiguration、oos:PutBucketObjectLockConfiguration、oos:DeleteBucketObjectLockConfiguration |
| 清单配置 | oos:ListAllMyBucket、oos:PutBucketInventoryConfiguration、oos:GetBucketInventoryConfiguration |
文件管理
| 操作 | 需具备的权限 |
|---|---|
| 上传文件 | oos:ListAllMyBucket、oos:ListBucket、oos:PutObject |
| 下载文件 | oos:ListAllMyBucket、oos:ListBucket、oos:GetObject |
| 管理文件元数据 | oos:ListAllMyBucket、oos:ListBucket、oos:GetObject、oos:PutObject |
| 文件预览 | oos:ListAllMyBucket、oos:ListBucket、oos:GetObject |
| 文件分享 | oos:ListAllMyBucket、oos:ListBucket、oos:GetObject |
| 创建文件夹 | oos:ListAllMyBucket、oos:ListBucket、oos:PutObject |
| 删除文件 | oos:ListAllMyBucket、oos:ListBucket、oos:DeleteObject |
| 移动文件 | 源和目的都需要的权限:oos:ListAllMyBucket、oos:ListBucket 对于源文件需要具有的权限:oos:GetObject、oos:DeleteObject 对于目的端需要的权限:oos:PutObject |
| 复制文件 | 源和目的都需要的权限oos:ListAllMyBucket、oos:ListBucket 对于源文件需要具有的权限:oos:GetObject 对于目的端需要的权限:oos:PutObject |
| 修改存储类型 | oos:ListAllMyBucket、oos:ListBucket、oos:GetObject、oos:PutObject |
| 搜索文件 | oos:ListAllMyBucket、oos:ListBucket |
操作跟踪
| 操作 | 需具备的权限 |
|---|---|
| 查看管理事件 | cloudtrail:LookupEvents |
| 查看跟踪列表 | cloudtrail:DescribeTrails、cloudtrail:GetTrailStatus |
| 创建跟踪 | oos:ListAllMyBucket、cloudtrail:CreateTrail、cloudtrail:PutEventSelectors、cloudtrail:StartLogging |
| 查看跟踪 | cloudtrail:DescribeTrails、cloudtrail:GetTrailStatus、cloudtrail:GetEventSelectors |
| 编辑跟踪 | oos:ListAllMyBucket、cloudtrail:UpdateTrail、cloudtrail:PutEventSelectors、cloudtrail:DescribeTrails、cloudtrail:GetEventSelectors、cloudtrail:GetTrailStatus、cloudtrail:StartLogging、cloudtrail:StopLogging |
| 删除跟踪 | cloudtrail:DescribeTrails、cloudtrail:DeleteTrail、cloudtrail:GetTrailStatus |
访问控制
操作 需具备的权限 IAM用户 创建IAM用户 iam:CreateUser、iam:CreateAccessKey、iam:CreateLoginProfile、iam:GetAccountPasswordPolicy、iam:GetUser
建议同时赋予的权限:iam:AddUserToGroup、iam:AttachUserPolicy、iam:ListUsers、iam:ListGroups、iam:ListPolicies
删除IAM用户 iam:ListUsers、iam:DeleteAccessKey、iam:DeleteUser、iam:RemoveUserFromGroup、iam:DeactivateMFADevice、iam:DeleteLoginProfile、iam:DetachUserPolicy 查看IAM用户信息 iam:ListAccessKeys、iam:ListUsers、iam:ListUserTags、iam:ListGroupsForUser、iam:ListAttachedUserPolicies、iam:ListEntitiesForPolicy、iam:ListMFADevices、iam:GetUser 安全 iam:GetLoginProfile、iam:ListUsers、iam:GetUser、iam:GetAccountPasswordPolicy、iam:CreateLoginProfile、iam:DeleteLoginProfile、iam:UpdateLoginProfile 密钥 iam:ListAccessKeys、iam:ListUsers、iam:GetUser、iam:CreateAccessKey、iam: GetAccessKeyLastUsed、iam:DeleteAccessKey、iam:UpdateAccessKey 权限 iam:ListUsers、iam:ListGroupsForUser、iam:ListPolicies、iam:ListAttachedGroupPolicies、iam:ListAttachedUserPolicies、iam:GetUser、iam:RemoveUserFromGroup、iam:AttachUserPolicy、iam:DetachUserPolicy 用户组 iam:ListUsers、iam:ListGroups、iam:ListGroupsForUser、iam:GetUser、iam:GetGroup、iam:AddUserToGroup、iam:RemoveUserFromGroup 标签 iam:ListUsers、iam:GetUser、iam:TagUser、iam:UntagUser 用户组 创建用户组 iam:CreateGroup
建议同时赋予的权限:iam:ListGroups、iam:ListPolicies、iam:AttachGroupPolicy
查看用户组信息 iam:ListGroups、iam:ListAttachedGroupPolicies、iam:GetGroup 修改用户组 iam:ListUsers、iam:ListGroups、iam:ListGroupsForUser、iam:ListPolicies、iam:ListAttachedGroupPolicies、iam:GetGroup、iam:AddUserToGroup、iam:RemoveUserFromGroup、iam:AttachGroupPolicy、iam:DetachGroupPolicy 删除用户组 iam:ListGroups、iam:DeleteGroup、iam:RemoveUserFromGroup、iam:DetachGroupPolicy 策略 查看策略 iam:ListPolicies、iam:ListEntitiesForPolicy、iam:GetPolicy 新建自定义策略 iam:CreatePolicy、iam:GetPolicy
建议同时赋予的权限:iam:ListPolicies
修改自定义策略 iam:CreatePolicy、iam:GetPolicy、iam:ListPolicies 删除自定义策略 iam:ListPolicies、iam:DeletePolicy、iam:DetachUserPolicy、iam:DetachGroupPolicy 授权/移除 用户/用户组 iam:ListUsers、iam:ListGroups、iam:ListPolicies、iam:ListAttachedGroupPolicies、iam:ListAttachedUserPolicies、iam:ListEntitiesForPolicy、iam:AttachUserPolicy、iam:DetachUserPolicy、iam:AttachGroupPolicy、iam:DetachGroupPolicy 安全设置 编辑密码规则 iam:GetAccountPasswordPolicy、iam:UpdateAccountPasswordPolicy 清除密码规则 iam:GetAccountPasswordPolicy、iam:DeleteAccountPasswordPolicy 编辑登录规则 iam:GetAccountLoginSecurityPolicy、iam:UpdateAccountLoginSecurityPolicy 清除登录规则 iam:UpdateAccountLoginSecurityPolicy、iam:DeleteAccountLoginSecurityPolicy 安全凭证 密钥 iam:ListAccessKeys、iam:GetUser、iam:CreateAccessKey、iam:DeleteAccessKey、iam:UpdateAccessKey 密码 iam:GetLoginProfile、iam:GetUser、iam:ChangePassword MFA iam:ListMFADevices、iam:GetUser、iam:CreateVirtualMFADevice、iam:DeleteVirtualMFADevice、iam:EnableMFADevice、iam:DeactivateMFADevice
