配置桶策略
桶策略定义了OBS中的资源(桶和对象)的访问控制策略。
操作步骤
- 登录OBS Browser+。
- 选择待配置的桶,单击“更多 > 桶策略”,如图1所示。
- 根据需求在“配置桶策略”输入框中按照如下格式输入桶策略:
- 给账户授予权限。下面的示例,允许账户(账户ID为783fc6652cf246c096ea836694f71855)获取桶logging.bucket3的日志管理信息。
{ "Statement": [ { "Sid": "testing", "Effect": "Allow", "Principal": { "ID": [ "domain/783fc6652cf246c096ea836694f71855:user/*" ] }, "Action": [ "GetBucketLogging" ], "Resource": [ "logging.bucket3" ] } ] }
上述示例中需要用户手动修改的参数介绍如表1所示:表1 参数修改 需要修改的参数
解释
GetBucketLogging
Action字段的参数值,表示此Policy的操作,Action字段为OBS支持的所有操作集合,以字符串形式表示,不区分大小写。支持通配符“*”,表示该资源能进行的所有操作。例如:"Action":["List*", "Get*"]。此处需要根据用户实际需要修改。OBS支持的所有Action,可参考桶相关授权项。
Allow
Effect字段的参数值,指定此Policy是允许还是拒绝,Effect的值必须为Allow或者Deny。
logging.bucket3
此Policy作用的目标桶,需根据用户需要设置的实际桶名修改。
783fc6652cf246c096ea836694f71855
账户的“账户ID”,需根据实际需要修改。“账户ID”可通过查看桶“基本信息”页面获取。
- 给IAM用户授予权限。下面的示例,允许账户(账户ID为219d520ceac84c5a98b237431a2cf4c2)下的用户(User ID为71f3901173514e6988115ea2c26d1999)设置桶logging.bucket3的日志管理信息。
{ "Statement": [ { "Sid": "testing", "Effect": "Allow", "Principal": { "ID": [ "domain/219d520ceac84c5a98b237431a2cf4c2:user/71f3901173514e6988115ea2c26d1999" ] }, "Action": [ "PutBucketLogging" ], "Resource": [ "logging.bucket3" ] } ] }
上述示例中需要用户手动修改的参数介绍如表2所示:表2 参数修改 需要修改的参数
解释
PutBucketLogging
Action字段的参数值,表示此Policy的操作,Action字段为OBS支持的所有操作集合,以字符串形式表示,不区分大小写。支持通配符“*”,表示该资源能进行的所有操作。例如:"Action":["List*", "Get*"]。此处需要根据用户实际需要修改。OBS支持的所有Action,可参考桶相关授权项。
Allow
Effect字段的参数值,指定此Policy是允许还是拒绝,Effect的值必须为Allow或者Deny。
logging.bucket3
此Policy作用的目标桶,需根据用户需要设置的实际桶名修改。
219d520ceac84c5a98b237431a2cf4c2
账户的“账户ID”,需根据实际需要修改。“账户ID”可通过单击目标桶后的图标,在弹出的“基本信息”页面获取。
71f3901173514e6988115ea2c26d1999
账户的“用户ID”,需根据实际需要修改。“用户ID”可通过单击OBS管理控制台页面右上角用户名,选择“我的凭证”,进入“我的凭证”页面查询。
桶策略各字段含义描述请参考OBS权限控制要素。
- 给账户授予权限。下面的示例,允许账户(账户ID为783fc6652cf246c096ea836694f71855)获取桶logging.bucket3的日志管理信息。