OBS委托授权

配置约束

主账号默认拥有所有权限，配置委托时无需添加权限。如果您的账号是IAM子账号，那么您的子账号需要有以下权限才可正常开启OBS委托授权：

IAM权限：

• iam:agencies:listAgencies
• iam:agencies:createAgency
• iam:permissions:grantRoleToAgencyOnProject

CDN权限：

• cdn:configuration:modifyChargeMode
• CDN ReadOnlyAccess

操作步骤

1. 登录华为云控制台，在控制台首页中选择“ CDN与智能边缘 > 内容分发网络 CDN”，进入CDN控制台。
2. 在左侧菜单栏中，选择“域名管理”。
3. 在域名管理界面右上方单击“开启OBS委托授权”。

4. 单击“确定”，系统将为您在IAM管理控制台委托页面创建名为“CDNAccessPrivateOBS”委托关系，CDN将有权限（只读权限）访问您的私有OBS桶。
   

   • 请勿删除CDN与OBS的委托关系，否则会导致CDN无法在回源时从OBS私有桶获取相应资源。

如果您的OBS桶中某些文件进行了KMS加密，此时CDN还无法访问KMS加密文件，您需要为“CDNAccessPrivateOBS”委托配置“KMS CMKFullAcces”权限，CDN才能读取并加速KMS加密文件。

5. （可选）为“CDNAccessPrivateOBS”委托配置“KMS CMKFullAcces”权限。
   1. 登录华为云控制台，在控制台首页中选择“管理与监管 > IAM”，进入IAM控制台。
   2. 在左侧菜单栏中，选择“委托”。
   3. 在“委托”界面找到“CDNAccessPrivateOBS”，单击“操作”列“授权”，进入“选择策略”界面。
   4. 在表格右上方筛选“KMS CMKFullAcces”，勾选该权限，单击“下一步”。
   5. 选择“指定区域项目资源”，根据OBS桶的位置勾选相应的区域。
   6. 单击“确定”，完成配置。

相关FAQ

1. 使用OBS私有桶做源站，创建授权委托失败