适用场景
对象存储提供了桶权限配置功能,可以修改桶的访问权限及添加其他用户对该桶的访问权限。
关于整体的访问权限说明,具体可见 访问权限。
关于存储桶设置权限设置说明,具体可参考:桶策略 。
前提条件
- 登录媒体存储控制台。
- 已完成新建Bucket操作,具体可参考 新建Bucket 。
存储桶ACL权限
- 登录媒体存储控制台,进入【对象存储-Bucket列表】菜单。
- 选择需要配置的Bucket,点击【权限管理】标签页,下图示例处可修改存储桶的公共权限。
- 【用户权限】模块可添加其他主账号对该桶的权限;点击【添加用户】,输入用户标识并选择相应的权限后,点击【保存】完成设置。
说明存储桶ACL中的用户权限,如用户类型选择“根账号”,目前仅支持对其他主账号授权,其他主账号用户标识在密钥管理页面获取,具体参考:密钥管理-获取用户标识。
如需对子账号授权,请参考主子账号章节操作,具体可参考:主子账号。
匿名用户ListBucket管理
功能说明
如存储桶ACL为公共读权限,服务默认禁止匿名用户ListBucket,即禁止匿名用户获取该桶的对象列表。如用户实际业务情况需要允许匿名用户ListBucket,可通过控制台进行配置。
注意目前此功能正在逐步覆盖全量资源池,目前已支持的资源池可参考:资源池与区域节点。
如资源池不支持此功能,则匿名用户请求ListBucket时,可获取桶内对象列表。
操作说明
- 进入【对象存储-Bucket列表】菜单后,选择需要配置的Bucket.
- 点击【权限管理】标签页。
- 当修改存储桶ACL权限为【公共读】时,可根据页面选择匿名ListBucket配置,默认选项为【禁止】。
- 配置完成后,点击【保存】。
示例说明
-
当存储桶ACL为公共读,禁止匿名用户ListBucket,则当匿名用户请求ListBucket时,服务会返回AccessDenied,即访问权限不足。
-
当存储桶ACL为公共读,允许匿名用户ListBucket,则当匿名用户请求ListBucket时,可获取桶内对象列表。
存储桶Policy权限
对象存储也提供了桶Policy配置的功能,可以根据用户需求更精确地定义桶的访问策略,具体操作如下:
- 进入【对象存储-Bucket列表】菜单后,选择需要配置的Bucket,点击【权限管理】标签页
- 在【Policy权限设置】模块,点击【添加策略】。
- 根据弹窗提示填写信息,点击【确认】完成配置。
配置参数说明
| 参数 | 参数说明 |
|---|---|
| 效力 | 选择对应的Policy策略,允许/禁止策略中的操作。 |
| 用户 | 填写授权策略的用户信息,支持向其他根账户(即其他天翼云主账户)或所有用户配置策略。 |
| 资源 | 指定授权策略的资源范围,支持按照“整个存储桶”、“指定资源”设置对应的资源范围。 |
| 操作 | 配置本策略指定的具体操作,如上传对象、删除对象等。 |
| 条件 | 可配置访问策略条件,对符合特定条件的用户生效;目前支持以IP为条件配置。 |
资源与操作关系表
根据授权资源范围的不同,可配置的操作项也会有所不同,具体可参考下表
| 资源 | 可配置的操作 |
|---|---|
| 整个存储桶 | CreateBucket |
| 整个存储桶 | DeleteBucketPolicy |
| 整个存储桶 | DeleteBucket |
| 整个存储桶 | DeleteBucketWebsite |
| 整个存储桶 | GetBucketAcl |
| 整个存储桶 | GetBucketCORS |
| 整个存储桶 | GetBucketPolicy |
| 整个存储桶 | GetBucketTagging |
| 整个存储桶 | GetBucketVersioning |
| 整个存储桶 | GetBucketWebsite |
| 整个存储桶 | GetLifecycleConfiguration |
| 整个存储桶 | ListAllMyBuckets |
| 整个存储桶 | ListBucketMultiPartUploads |
| 整个存储桶 | ListBucket |
| 整个存储桶 | ListBucketVersions |
| 整个存储桶 | ListMultipartUploadParts |
| 整个存储桶 | PutBucketAcl |
| 整个存储桶 | PutBucketCORS |
| 整个存储桶 | PutBucketLogging |
| 整个存储桶 | PutBucketPolicy |
| 整个存储桶 | PutBucketTagging |
| 整个存储桶 | PutBucketVersioning |
| 整个存储桶 | PutBucketWebsite |
| 整个存储桶 | PutLifecycleConfiguration |
| 指定资源 | DeleteObject |
| 指定资源 | DeleteObjectVersion |
| 指定资源 | GetObjectAcl |
| 指定资源 | GetObject |
| 指定资源 | GetObjectVersionAcl |
| 指定资源 | GetObjectVersion |
| 指定资源 | PutObjectAcl |
| 指定资源 | PutObject |
| 指定资源 | PutObjectVersionAcl |
