对IAM用户组授予OBS所有资源的指定操作权限

场景介绍

本案例介绍如何为账号下的多个IAM用户或用户群组授予OBS所有资源的指定操作权限。

推荐配置方法

IAM自定义策略

配置须知

按照本案例配置后，可以正常通过API完成权限所允许的操作，但如果通过控制台或OBS Browser+登录，可能会出现无权限的相关提示信息。

报错原因：通过控制台或者OBS Browser+登录后，加载桶列表时会调用获取桶列表（ListAllMyBuckets）等接口，加载对象列表时会调用列举桶内对象（ListBucket）等接口，其他页面也会调用其他的OBS接口。如果指定的权限中没有包含如obs:bucket:ListAllMyBuckets、obs:bucket:ListBucket及一些控制台和OBS Browser+加载页面时需要调用的接口权限，会提示“拒绝访问，请检查相应权限”，或者“不允许在请求的资源上执行此操作”。

如果希望IAM用户能在控制台或OBS Browser+顺利完成桶和对象相关操作，建议至少在自定义策略中包含obs:bucket:ListAllMyBuckets和obs:bucket:ListBucket两个权限。

配置步骤

1. 使用云服务账号登录管理控制台。
2. 在顶部导航栏选择“服务列表>管理与部署>统一身份认证服务”，进入“统一身份认证服务”管理控制台。
3. 在左侧导航栏单击“策略”，进入“策略”界面。
4. 单击右上角“创建自定义策略”。
5. 配置自定义策略参数。

   表1 自定义策略参数配置说明

   参数	说明
   策略名称	输入自定义策略的名称
   策略配置方式	根据使用习惯进行选择，此处以“可视化视图”为例
   策略内容	选择“允许” 选择“对象存储服务 (OBS)” 勾选需要授权的操作 选择“所有资源”
   作用范围	默认为“全局级服务”

6. 单击“确定”，完成自定义策略创建。
7. 创建用户组并授权。

   按照IAM文档指导，将前面步骤创建的自定义策略添加到用户组中。

8. 将需要授权的IAM用户加入到创建的用户组中，授权完成。
   

   由于缓存的存在，授予OBS相关的策略后，大概需要等待10~15分钟策略才能生效。