更新时间:2022-03-28 GMT+08:00
分享

对其他帐号授予桶的读写权限

场景介绍

本案例介绍如何为其他华为云帐号授予OBS桶的读写权限。这里的帐号指华为云帐号本身,不包含帐号下的IAM用户,若要为IAM用户授权,请参见对其他帐号下的IAM用户授予桶和桶内资源的访问权限

推荐配置方法

对其他帐号授权,推荐使用桶策略。

配置须知

OBS预置的“读写模式”拥有如下权限:

  • GetObject:下载对象
  • PutObject:上传对象
  • GetObjectVersion:下载多版本对象
  • DeleteObjectVersion:删除多版本对象
  • DeleteObject:删除对象

按照本案例配置后,被授权帐号可以正常通过API或SDK完成读写操作(上传、下载、删除桶内所有对象),此外允许通过OBS Browser+挂载外部桶的方式完成读写操作,但还需要额外配置一条ListBucket的权限。暂不支持在OBS控制台访问非本帐号的OBS桶。

配置ListBucket权限后,通过OBS Browser+访问添加的外部桶可能仍会出现无权限的相关提示信息。

报错原因:OBS Browser+桶详情页面的加载会调用一些其他的OBS接口,而授予的读写权限中并没有包含这些操作的权限,所以会提示“拒绝访问,请检查响应权限”,或者“不允许在请求的资源上执行此操作”,但并不影响已有权限。

配置步骤

  1. 在OBS管理控制台左侧导航栏选择“桶列表”
  2. 在桶列表单击目标桶的桶名称,进入“概览”页面。
  3. 在左侧导航栏,单击“访问权限控制”,进入权限管理页面。
  4. 在“桶策略”页面,单击“创建”。
  5. 在“桶读写”一栏,单击“使用模板创建”。
  6. 配置桶策略内容。

    图1 配置桶策略
    表1 桶策略配置说明

    参数

    说明

    策略配置方式

    根据使用习惯进行选择,此处以“可视化视图”为例

    策略名称

    输入自定义策略的名称

    策略内容

    • 选择“允许”
    • 被授权用户:其他帐号
      • 帐号ID:填写被授权帐号的帐号ID,可在对应帐号“我的凭证”页面获取
      • IAM用户ID:同帐号ID,填写被授权帐号的帐号ID,可在对应帐号“我的凭证”页面获取
      • 用户策略:包含以上用户
    • 资源:
      • 勾选“当前桶”和“桶内对象”
      • 资源策略:包含以上资源

  7. 配置完成后,单击“配置确认”。
  8. 核对权限配置信息,确认无误后单击“创建”,完成桶策略创建。
分享:

    相关文档

    相关产品

close