更新时间:2024-10-23 GMT+08:00

授权第三方上传

使用场景

当第三方用户没有上传权限的时候,可以临时授权给第三方用户临时访问OBS服务,在授权有效期内实现对象上传。例如,部分企业拥有自己的用户管理系统,用户管理系统中的用户包括终端APP用户、企业本地用户等,这部分用户并不具有IAM用户的权限,通过授予其临时访问密钥来访问OBS。

授权方式有以下两种:

  • 通过临时访问密钥授权上传
  • 通过临时URL授权上传

注意事项

授权方式

说明

临时访问密钥授权

临时访问密钥的有效时间为15min至24h。

在获取临时访问密钥时,通过传入policy参数设置临时权限来进一步约束使用者的权限范围,方便IAM用户对使用者的权限进一步管理。

临时URL授权

临时URL授权需要桶的拥有者生成临时URL,每调整一次URL有效期,就需要获取一次鉴权信息以生成新的临时链接。

临时URL授权上传,需要授予obs:PutObject权限。

通过临时访问密钥授权上传

OBS可以通过IAM获取临时访问密钥(临时AK,SK和securitytoken)进行临时授权访问,为第三方应用或IAM用户颁发一个自定义时效和权限的访问凭证。

临时AK/SK和securitytoken遵循权限最小化原则,使用临时AK/SK调用API鉴权时,临时AK/SK和securitytoken必须同时使用,请求头中需要添加“x-obs-security-token”字段。

详情参见通过临时访问密钥访问OBS

通过临时URL授权上传

OBS客户端支持通过访问密钥、请求方法类型、请求参数等信息生成一个在Query参数中携带鉴权信息的URL,可将该URL提供给其他用户进行临时访问。在生成URL时,您需要指定URL的有效期来限制访客用户的访问时长。

临时URL允许第三方用户在没有安全凭证或者授权的情况下进行上传操作。第三方用户使用临时URL上传对象后,OBS将在指定的Bucket生成该对象

详情参见通过临时URL访问OBS