更新时间:2024-02-18 GMT+08:00

配置桶策略

桶策略定义了OBS中的资源(桶和对象)的访问控制策略。

操作步骤

  1. 登录OBS Browser+。
  2. 选择待配置的桶,单击“更多 > 桶策略”,如图1所示。

    图1 桶策略

  3. 根据需求在“配置桶策略”输入框中按照如下格式输入桶策略:

    1. 给账户授予权限。下面的示例,允许账户(账户ID为783fc6652cf246c096ea836694f71855)获取桶logging.bucket3的日志管理信息。
      {
          "Statement": [
              {
                  "Sid": "testing",
                  "Effect": "Allow",
                  "Principal": {
                      "ID": [
                          "domain/783fc6652cf246c096ea836694f71855:user/*"
                      ]
                  },
                  "Action": [
                      "GetBucketLogging"
                  ],
                  "Resource": [
                      "logging.bucket3"
                  ]
              }
          ]
      }
      上述示例中需要用户手动修改的参数介绍如表1所示:
      表1 参数修改

      需要修改的参数

      解释

      GetBucketLogging

      Action字段的参数值,表示此Policy的操作,Action字段为OBS支持的所有操作集合,以字符串形式表示,不区分大小写。支持通配符“*”,表示该资源能进行的所有操作。例如:"Action":["List*", "Get*"]。此处需要根据用户实际需要修改。OBS支持的所有Action,可参考桶相关授权项

      Allow

      Effect字段的参数值,指定此Policy是允许还是拒绝,Effect的值必须为Allow或者Deny。

      logging.bucket3

      此Policy作用的目标桶,需根据用户需要设置的实际桶名修改。

      783fc6652cf246c096ea836694f71855

      账户的“账户ID”,需根据实际需要修改。“账户ID”可通过查看桶“基本信息”页面获取。

    2. 给IAM用户授予权限。下面的示例,允许账户(账户ID为219d520ceac84c5a98b237431a2cf4c2)下的用户(User ID71f3901173514e6988115ea2c26d1999)设置桶logging.bucket3的日志管理信息。
      {
          "Statement": [
              {
                  "Sid": "testing",
                  "Effect": "Allow",
                  "Principal": {
                      "ID": [
                          "domain/219d520ceac84c5a98b237431a2cf4c2:user/71f3901173514e6988115ea2c26d1999"
                      ]
                  },
                  "Action": [
                      "PutBucketLogging"
                  ],
                  "Resource": [
                      "logging.bucket3"
                  ]
              }
          ]
      }
      上述示例中需要用户手动修改的参数介绍如表2所示:
      表2 参数修改

      需要修改的参数

      解释

      PutBucketLogging

      Action字段的参数值,表示此Policy的操作,Action字段为OBS支持的所有操作集合,以字符串形式表示,不区分大小写。支持通配符“*”,表示该资源能进行的所有操作。例如:"Action":["List*", "Get*"]。此处需要根据用户实际需要修改。OBS支持的所有Action,可参考桶相关授权项

      Allow

      Effect字段的参数值,指定此Policy是允许还是拒绝,Effect的值必须为Allow或者Deny。

      logging.bucket3

      此Policy作用的目标桶,需根据用户需要设置的实际桶名修改。

      219d520ceac84c5a98b237431a2cf4c2

      账户的“账户ID”,需根据实际需要修改。“账户ID”可通过单击目标桶后的图标,在弹出的“基本信息”页面获取。

      71f3901173514e6988115ea2c26d1999

      账户的“用户ID”,需根据实际需要修改。“用户ID”可通过单击OBS管理控制台页面右上角用户名,选择“我的凭证”,进入“我的凭证”页面查询。

    桶策略各字段含义描述请参考OBS权限控制要素