文档首页/ 内容分发网络 CDN/ 常见问题/ 使用咨询/ 如何用新版OBS委托授权的权限替换旧版?
更新时间:2025-10-21 GMT+08:00
查看PDF
分享

如何用新版OBS委托授权的权限替换旧版?

华为云CDN于北京时间2025年4月2日开始启用新版的OBS委托授权功能,相对于旧版,新版收缩了部分权限,新旧版权限对比请参见表1

表1 OBS委托授权权限对比

版本

开启委托后CDN获取的权限

旧版

IAM服务系统角色“Tenant Guest”的全部权限,权限详情请参见IAM权限管理

新版

获取对象内容、获取对象元数据:obs:object:GetObject。

委托更新后可能的影响请参见权限变化后可能的影响

如果您需要使用新版本的权限替换旧版,请评估新旧版本委托对您业务的影响,并在业务低峰期更新委托授权。请参考以下方案完成配置:

方案一:一键切换

主账号默认拥有所有权限,更新委托时无需添加权限。如果您是IAM用户,那么您需要有以下权限才可一键切换新版OBS委托授权:

  • 查询委托拥有的指定项目权限:iam:permissions:listRolesForAgencyOnProject
  • 移除委托的项目服务权限:iam:permissions:revokeRoleFromAgencyOnProject
  • 查询指定条件下的委托列表信息iam:agencies:listAgencies
  • 查询权限列表:iam:roles:listRoles
  • 为委托授予项目服务权限:iam:permissions:grantRoleToAgencyOnProject
  1. 登录CDN控制台
  2. 在左侧菜单栏选择域名管理
  3. 当域名列表上方提示当前账号使用的是旧版OBS委托授权时,支持一键切换。单击“切换新版OBS委托授权”
    图1 更新委托
  4. 请仔细阅读更新委托后的影响,确认更新请单击“确定”,完成委托更新。

方案二:手动切换

  1. 创建自定义策略

    1. 登录华为云控制台,在控制台首页中选择“ 管理与监管 > 统一身份认证服务 IAM”,进入IAM控制台。
    2. 在左侧菜单栏选择权限管理 > 权限,进入权限界面。
    3. 单击页面右上方“创建自定义策略”按钮,进入创建自定义策略界面。
      图2 创建自定义策略
    4. 配置相关参数,具体配置如下:
      • 策略名称:CDNAccessPrivateOBS GetAccess(可自定义)
      • 策略内容:
        • 允许:允许
        • 云服务:对象存储服务(OBS)
        • 操作:obs:object:GetObject
        • 所有资源:所有资源
        • 请求条件(可选):保持默认值
      • 策略描述:输入当前策略的相关信息
      • 作用范围:全局级服务
    5. 参数配置完毕后,单击“确定”,完成自定义策略添加。

  2. 为OBS委托授权自定义策略

    1. 在IAM控制台左侧菜单栏选择委托,进入委托界面。
    2. 单击委托“CDNAccessPrivateOBS”所在行“操作”列的“授权”按钮。
    3. 勾选1创建的自定义策略,单击“下一步”
    4. “授权范围方案”选择“所有资源”,单击“确定”,完成授权。

  1. 删除旧版权限

    1. 在IAM委托列表页面,单击委托“CDNAccessPrivateOBS”
    2. 选择“授权记录”页签,当前委托拥有两个权限。
      图3 权限列表
    3. 删除“Tenant Guest”权限即可。

      新的自定义策略创建后,生效需要15~30分钟,请在新的策略生效后再删除旧策略,以免业务受损。

权限变化后可能的影响

  1. 旧版OBS委托授权:用户访问OBS私有桶根目录会列举桶资源列表。
  2. 新版OBS委托授权:用户访问OBS私有桶根目录会列举桶资源列表,访问会被拒绝并返回403状态码给客户端。
  3. 如果您修改了“CDNAccessPrivateOBS”委托中的权限,委托更新后权限可能发生变化,请注意权限变化对业务的影响。
父主题: 使用咨询

相关文档