适用场景
媒体存储提供STS角色管理功能,无需向临时用户透露您的长期密钥,您可以为临时用户颁发一个自定义时效和权限的访问凭证,使您的资源访问更加安全。
注意使用STS授权访问时,请务必按照业务情况,以最细粒度的权限原则进行授权,避免放大临时用户的权限,保证资源访问安全。
适用区域
本功能目前仅部分资源池支持,具体可参考:资源池与区域节点。
如需使用,可联系客户经理或提交工单申请。
前提条件
- 登录媒体存储控制台。
- 已完成新建Bucket操作,具体可参考 新建Bucket 。
通过控制台创建STS角色
操作步骤
- 进入对象存储控制台,进入【角色管理】 菜单。
- 点击【添加角色】,进行角色添加。
- 在添加角色弹窗,填写角色名称、选择受信实体、存储区域、授权资源后,点击【确认】完成创建。
配置参数
参数 | 参数说明 |
---|---|
角色名称 | 支持英文字母、数字以及短横线。 |
受信实体 | 受信任的实体账户,可以是本账号、本账号其下的子账号以及其他主账号。 |
存储区域 | 选择该角色的授权区域。 |
授权资源 | 根据授权区域,选择授权的资源,即存储桶,支持多选。 |
备注 | 根据需求填写备注字段,不超过50个字符。 |
获取角色ARN信息
- 进入对象存储控制台,进入【角色管理】 菜单。
- 找到对应的角色,点击角色名或操作列的【查看角色】按钮。
- 进入角色详情页面,在基础信息里可获取对应的ARN信息,用以获取STS临时密钥。
修改授权范围
如需要修改角色对应的授权资源范围,可参考如下步骤操作:
- 进入对象存储控制台,进入【角色管理】 菜单。
- 找到对应的角色,点击角色名或操作列的【查看角色】按钮。
- 在角色详情页-【资源范围】栏的最右侧,点击【编辑】按钮。
- 在弹窗需修改对应的授权资源,并点击【确定】完成操作。
实践应用
STS临时凭证的实践应用,可参考 移动应用使用临时凭证直传 。