文档首页/ 对象存储迁移服务 OMS/ 常见问题/ 产品咨询/ 如何获取源端桶权限和目的端桶权限?
更新时间:2024-03-16 GMT+08:00
分享

如何获取源端桶权限和目的端桶权限?

源端桶权限获取

以华为云OBS源端桶为例,如果源端桶为其他云服务商,请联系对应的云服务商工程师。

源端桶对应账户需要的权限包括:列举桶,获取桶位置,列举对象,获取对象元数据,获取对象内容。

源端权限获取方式分为两种,可任选一种方式获取。

  • 基于系统策略获取OBS Administrator权限,将该权限赋予子用户,获取方式参见创建用户组并授权
  • 基于IAM细粒度OBS权限包括:列举桶,获取桶位置,列举对象,获取对象元数据,获取对象内容。
    1. 登录华为云,在右上角单击“控制台”。
    2. 在控制台页面,鼠标移动至右上方的账号名,在下拉列表中选择“统一身份认证”。
    3. 在“统一身份认证服务”导航树,单击“权限管理>权限”,进入权限页面。
    4. 单击右上角“创建自定义策略”,进入创建自定义策略页面。

    5. 填写策略名称,作用范围选择“全局级服务”,策略配置方式选择“JSON视图”。
    6. 将以下内容拷贝到策略内容,单击“确定”按钮。

      {
          "Version": "1.1",
          "Statement": [
              {
                  "Action": [
                      "obs:bucket:ListAllMyBuckets",
                      "obs:bucket:GetBucketLocation",
                      "obs:bucket:ListBucket",
                      "obs:object:GetObject"
                  ],
                  "Resource": [
                      "obs:*:*:bucket:*",
                      "obs:*:*:object:*"
                  ],
                  "Effect": "Allow"
              }
          ]
      }

自定义策略创建完成后,还需要完成以下操作,用户才能拥有相应权限。

  • 如迁移用户已加入用户组,将自定义策略授权到该用户组,迁移用户即可拥有自定义策略权限。授权方式参见给用户组授权
  • 如迁移用户未加入用户组,请进行如下操作。
    1. 创建用户组,并给用户组授权自定义策略,详细步骤参见创建用户组并授权
    2. 将用户添加到用户组,用户将拥有用户组相应的权限(即自定义策略),详细步骤请参见用户组添加用户
  • 迁移用户的“访问方式”必须同时勾选“编程访问”和“管理控制台访问”。
  • 授权后需等待15-30分钟才可生效。

目的端桶权限获取

目的端桶需要的权限包括:列举桶内对象,获取桶区域位置,获取桶列表,获取对象元数据,修改对象元数据,获取对象内容,上传对象,列举多段上传任务,取回归档存储对象。

目的端权限获取方式分为两种,可任选一种方式获取。
  • 基于系统策略获取OBS Administrator权限,获取方式参见创建用户组并授权
  • 基于IAM细粒度OBS权限,获取方式如下:
    1. 登录华为云,在右上角单击“控制台”。
    2. 在控制台页面,鼠标移动至右上方的账号名,在下拉列表中选择“统一身份认证”。
    3. 在“统一身份认证服务”导航树,单击“权限管理>权限”,进入权限页面。
    4. 单击右上角“创建自定义策略”,进入创建自定义策略页面。

    5. 填写策略名称,作用范围选择“全局级服务”,策略配置方式选择“JSON视图”。
    6. 将以下内容拷贝到策略内容,单击“确定”按钮。
      {
          "Version": "1.1",
          "Statement": [
              {
                  "Effect": "Allow",
                  "Action": [
                      "obs:bucket:GetBucketLocation",
                      "obs:bucket:ListBucketMultipartUploads",
                      "obs:object:RestoreObject",
                      "obs:object:GetObject",
                      "obs:object:ModifyObjectMetaData",
                      "obs:bucket:ListBucket",
                      "obs:object:PutObject"
                  ],
                  "Resource": [
                      "OBS:*:*:bucket:*",
                      "OBS:*:*:object:*"
                  ]
              },
              {
                  "Effect": "Allow",
                  "Action": [
                      "obs:bucket:ListAllMyBuckets"
                  ]
              }
          ]
      }

自定义策略创建完成后,还需要完成以下操作,用户才能拥有相应权限。

  • 如迁移用户已加入用户组,将自定义策略授权到该用户组,迁移用户即可拥有自定义策略权限。授权方式参见给用户组授权
  • 如迁移用户未加入用户组,请进行如下操作。
    1. 创建用户组,并给用户组授权自定义策略,详细步骤参见创建用户组并授权
    2. 将用户添加到用户组,用户将拥有用户组相应的权限(即自定义策略),详细步骤请参见用户组添加用户
  • 迁移用户的“访问方式”必须同时勾选“编程访问”和“管理控制台访问”。
  • 授权后需等待15-30分钟才可生效。

相关文档