文档首页 > > 开发指南> 权限控制> 使用桶策略(Bucket policy)> 桶策略简介

桶策略简介

分享
更新时间: 2019/07/01 GMT+08:00

桶策略可基于各种条件,如OBS操作、授权者、资源和请求的其他要素(如IP地址)提供对桶和对象的集中访问控制。附加到某个桶上的权限适用于该桶内所有对象。租户可基于各种条件授予权限给桶策略和员工。例如,租户可以按以下维度制定策略,授予某用户的写权限:

  • 给予用户特定的桶的写权限
  • 给予特定的网络中的用户写权限
  • 给予用户的自定程序写权限

访问控制列表(access control lists,ACL)只能对单个对象进行权限的添加,而桶策略可对一个桶内的所有对象进行权限的添加和禁止。租户可通过同一请求对某桶内任意数量的对象进行权限设置。此外,租户还可以对资源名称及其他值添加通配符(类似于正则表达式运算符),从而实现对一组对象的访问控制。

Bucket Policy允许桶的所有者执行Put Bucket Policy操作,给Bucket设置访问控制策略,如果Bucket已有Policy,则新的Policy会覆盖老的Policy。Bucket Owner也可以执行Get Bucket Policy或Delete Bucket Policy操作,获取或删除已设置的Bucket Policy。设置Policy后,后续对此Bucket的访问请求都会受到Policy的限制,表现为拒绝或接受请求。对拒绝或接受的判断,取决于Policy的描述。如下所示的Policy允许租户783fc6652cf246c096ea836694f71855(租户ID)和219d520ceac84c5a98b237431a2cf4c2(租户ID)对桶mybucket下的所有对象执行GetObject权限:

{ 
  "Statement" : [ 
     { 
      "Effect":"Allow", 
      "Sid":"1",  
      "Principal" : { 
        "ID":["domain/783fc6652cf246c096ea836694f71855:user/*",
        "domain/219d520ceac84c5a98b237431a2cf4c2:user/*"] 
      }, 
      "Action":["GetObject"], 
      "Resource":"mybucket/*" 
     } 
  ]  
}
分享:

    相关文档

    相关产品

文档是否有解决您的问题?

提交成功!

非常感谢您的反馈,我们会继续努力做到更好!

反馈提交失败,请稍后再试!

*必选

请至少选择或填写一项反馈信息

字符长度不能超过200

提交反馈 取消

如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨

跳转到云社区