更新时间:2025-08-26 GMT+08:00
日志转储OBS场景下创建OBS桶自定义策略
创建日志转储至OBS时,除了需要拥有LTS使用权限外,还需要拥有以下OBS桶相关授权项:设置桶ACL(obs:bucket:PutBucketAcl)、获取桶列表(obs:bucket:ListAllMyBuckets)、获取桶元数据(obs:bucket:HeadBucket)、获取桶ACL(obs:bucket:GetBucketAcl)、获取桶的加密配置(obs:bucket:GetEncryptionConfiguration)。更多信息请参见桶相关授权项。
关于LTS的权限,您配置权限策略LTS FullAccess或LTS Administrator后,自定义策略必须选择授权项:创建日志转储(lts:transfers:create),更多权限信息请参考权限管理。
本文主要介绍在IAM创建OBS桶授权项的自定义策略,然后将新创建的自定义策略授予用户组,使得用户组中的用户具备自定义策略中的权限。
前提条件
已创建了OBS桶。
授权OBS桶
配置权限时, 遵循最小权限原则,仅授予日志转储所必需的权限,避免过度授权。
- 登录IAM控制台。
- 在左侧导航栏选择“权限管理 > 权限”,单击右上角的“创建自定义策略”。
- 在授权页面,参数设置参考如下,更多详细操作请参考创建自定义策略。
图1 自定义授权
- 策略配置方式选择“可视化视图”。
- 策略内容选择“云服务”,选择对象存储服务OBS。
- 在搜索框输入如下权限名称并勾选:
- 设置桶ACL(obs:bucket:PutBucketAcl)
- 获取桶列表(obs:bucket:ListAllMyBuckets)
- 获取桶元数据(obs:bucket:HeadBucket)
- 获取桶ACL(obs:bucket:GetBucketAcl)
- 获取桶的加密配置(obs:bucket:GetEncryptionConfiguration)
- 设置完成后,单击“确定”,自定义策略创建完成。
- 将新创建的自定义策略授予IAM用户所在的用户组,使得用户组中的用户具备自定义策略中的权限。更多详细操作请参考创建用户组并授权。
- 授权完成后,您就可以到LTS控制台配置日志转储至OBS。
父主题: 日志转储
