更新时间:2024-05-29 GMT+08:00
分享

对其他账号授予桶的读写权限

场景介绍

本案例介绍如何为其他华为云账号授予OBS桶的读写权限。这里的账号指华为云账号本身,不包含账号下的IAM用户,如果要为IAM用户授权,请参见对其他账号下的IAM用户授予桶和桶内资源的访问权限

推荐配置方法

对其他账号授权,推荐使用桶策略。

配置须知

本案例预置的“桶读写”模板允许其他账号对整个桶及桶内所有对象执行除以下权限以外的所有权限:

  • DeleteBucket:删除桶
  • PutBucketPolicy:设置桶策略
  • PutBucketAcl:设置桶ACL

按照本案例配置后,被授权账号可以正常通过API或SDK完成读写操作(上传、下载、删除桶内所有对象),此外允许通过OBS Browser+挂载外部桶的方式完成读写操作。暂不支持在OBS控制台访问非本账号的OBS桶。

通过OBS Browser+访问添加的外部桶可能仍会出现无权限的相关提示信息。

报错原因:OBS Browser+桶详情页面的加载会调用一些其他的OBS接口,而授予的读写权限中并没有包含这些操作的权限,所以会提示“拒绝访问,请检查相应权限”,或者“不允许在请求的资源上执-行此操作”,但并不影响已有权限。

配置步骤

  1. 在OBS管理控制台左侧导航栏选择“桶列表”
  2. 在桶列表单击目标桶的桶名称,进入“对象”页面。
  3. 在左侧导航栏,单击“访问权限控制>桶策略”,进入桶策略页面。
  4. 在“桶策略”页面,单击“创建”。
  5. 根据使用习惯,策略配置方式以可视化视图为例。单击“可视化视图”。
  6. 配置桶策略内容。

    图1 配置桶策略
    表1 桶策略配置说明

    参数

    说明

    策略名称

    输入自定义策略的名称

    策略内容

    效力

    允许

    被授权用户

    • 被授权用户:其他账号
      说明:

      账号ID和IAM用户ID可在“我的凭证”页面获取。

      输入格式:domainId/userld,可授权给多个账号,每行一个。

      domainId/*表示授权给账号下的所有用户。

    授权资源

    • 资源范围:整个桶(包括桶内对象)

    授权操作

    • 动作范围:模板配置
    • 模板:桶读写

    高级设置-排除策略(可选)

    • 排除以上授权操作(默认勾选)

  7. 核对权限配置信息,确认无误后单击“创建”,完成桶策略创建。
  8. 权限配置信息可以在桶策略列表查看。

    图2 查看桶策略列表权限配置信息

相关文档