文档首页/ 对象存储服务 OBS/ 权限配置指南/ 权限控制方式介绍/ 桶策略/ 桶策略参数说明
更新时间:2025-08-28 GMT+08:00
查看PDF
分享

桶策略参数说明

一个Policy由JSON描述,格式定义为:

{ 
"Statement" : [{
     statement1
  },
  {
     statement2
  },
  ......
 ]
}
实例如下所示: 
{ 
"Statement" : [{
     "Sid": "ExampleStatementID1",
     "Principal": "*",
     "Effect": "Allow",   
     "Action": ["ListBucket"],
     "Resource": "examplebucket",
     "Condition": "some conditions"
  },
  {
     "Sid": "ExampleStatementID2",
     "Principal": "*",
     "Effect": "Allow",   
     "Action": ["PutObject"],
     "Resource": "examplebucket",
     "Condition": "some conditions"
  },
......
]
}

Policy由多条statement组成,也可以是一条。每条statement的结构包括下表内容:

表1 statement结构

元素

描述

是否必选

Sid

statement Id,可选关键字,描述statement的字符串。

可选

Principal

可选关键字,被授权人,指定本条statement权限针对的Domain以及User,支持通配符“*”,表示所有用户。当对Domain下所有用户授权时,Principal格式为domain/domainid:user/*当对某个User进行授权时,Principal格式为domain/domainid:user/userId或者domain/domainid:user/userName。

如果通过控制台进行桶清单配置,控制台会自动生成目标桶的桶策略。目标桶的桶策略中Principal取值则固定为{"Service": "obs"}。关于桶清单的详细介绍请参见桶清单说明

可选,Principal与NotPrincipal选其一

NotPrincipal

可选关键字,不被授权人,statement匹配除此之外的其他人。取值同Principal。

示例:拒绝除了某个指定IAM用户以外的其他用户执行所有操作

domain_id是账号ID,use_id是IAM用户ID,如何获取请参见获取账号ID、IAM用户ID

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
 
{
    "Statement": [
        {
            "Effect": "Deny", 
            "Action": ["*"], 
            "Resource": [
                "examplebucket/*", 
                "examplebucket"
            ], 
            "NotPrincipal": {
                "ID": [
                    "domain/domain_id:user/use_id", 
                    "domain/domain_id:root"
                ]
            }
        }
     ]
}

可选,NotPrincipal与Principal选其一

Action

可选关键字,指定本条statement作用的操作,Action字段为OBS支持的所有操作集合,以字符串形式表示,不区分大小写。支持通配符“*”,表示该资源能进行的所有操作。例如:"Action":["List*", "Get*"]。

可选,Action与NotAction选其一

NotAction

可选关键字,指定一组操作,statement匹配除该组操作之外的其他操作。 取值同Action。

可选,NotAction与Action选其一

Effect

必选关键字,效力,指定本条statement的权限是允许还是拒绝,Effect的值必须为Allow或者Deny。

必选

Resource

可选关键字,指定statement起作用的一组资源,支持通配符“*”,表示所有资源。

可选,Resource与NotResource选其一

NotResource

可选关键字,指定一组资源,statement匹配除该组资源之外的其他资源。 取值同Resource。

可选,NotResource与Resource选其一

Condition

可选关键字,本条statement生效的条件。

可选

在单条statement中,Action与NotAction必须二选一,Resource与NotResource必须二选一,Principal与NotPrincipal必须二选一。

Principal / NotPrincipal

OBS支持的Principal或NotPrincipal有所有账号、特定租户、特定用户、联合身份用户,委托用户。

  • 所有人(所有账号) 
    "Principal": {"ID": "*"}

    在示例中,使用星号 (*) 作为Everyone/Anonymous的占位符。我们还强烈建议您不要在角色的信任策略中的Principal元素里使用通配符,除非您在该策略中通过Condition元素对访问进行了限制。

  • 特定租户

    当在策略中使用租户标识符作为授权人时,可将策略语句中的权限授予该租户中包含的所有身份。这包括该租户下所有用户。以下示例演示了将租户指定为授权人的不同方法。

    "Principal": { "ID": " domain/domainIdxxxx:user/*" }

    您可以授权给多个租户,如以下示例所示:

    "Principal": { 
  "ID": [
    "domain/domainIDxx1:user/useridxxxx",
    "domain/domainIDxx2:user/*"
  ]
}
  • 特定用户

    在 Principal 元素中,用户名区分大小写。

    "Principal": {"ID": "domain/domainIDxxx:user/user-name" }
"Principal": {
  "ID": [
    "domain/domainIDxxx:user/UserID1", 
    "domain/domainIDxxx:user/UserID2"
  ]
}
  • 联合身份用户 (使用SAML身份提供商) 
    "Principal": { "Federated": "domain/domainIDxxx:identity-provider/provider-name" }
"Principal": { "Federated": "domain/domainIDxxx:group/groupname" }
  • 委托用户
    *表示对应租户下的所有委托 
    "Principal": { "ID": "domain/domainIDxxx:agency/agencyname" }
"Principal": { "ID": "domain/domainIDxxx:agency/*" }

如果通过控制台进行桶清单配置,控制台会自动生成目标桶的桶策略。目标桶的桶策略中Principal为:

"Principal":{"Service": "obs"}

关于桶清单的详细介绍请参见桶清单说明

OBS控制台支持的被授权用户指桶策略作用的用户,这里的用户可以是账号,也可以是IAM用户。被授权用户可以通过排除策略来指定:

(可选项)排除以上被授权用户:桶策略对除指定用户外的其他用户生效。

  • 不勾选:表示桶策略对指定的用户生效。
  • 勾选:表示桶策略对除指定用户外的其他用户生效。

指定当前账号的子用户

当桶策略的“被授权用户”选择“子用户”时,可以选择配置当前账号下的子用户(即IAM用户),即为当前账号的IAM用户授权桶策略(可多选)。

指定其他账号

当桶策略的“被授权用户”类型设置“其他账号”时,可以设置一个或多个其他账号。如果只想为其他账号下的IAM用户授权,则需再配置IAM用户ID,可以指定多个IAM用户。

账号ID和IAM用户ID需要由被授权用户使用IAM用户登录至控制台,前往“我的凭证”页面获取。

指定委托账号

当桶策略的“被授权用户”类型设置“委托账号”时,可以设置一个或多个委托账号。创建成功后可以将账号中的资源操作权限委托给其他账号,被委托的账号可以根据权限代替您进行资源运维工作。

当勾选“其他账号”后才可添加委托账号。

指定任何人(所有账号)

要将桶访问权限授予给任何人,桶策略的“被授权用户”类型设置“所有账号”。

为所有账号设置桶访问权限需谨慎使用。如果您授予所有账号桶访问权限,则意味着世界上任何人都可以访问您的桶。在一定要使用的情况下,我们建议您在条件中对访问请求进行限制,比如限制只能某一个IP地址的用户可以访问。

Action / NotAction

桶策略动作与资源相关,当资源为当前整个桶时,桶策略动作需配置为桶相关的动作;当资源为桶内对象时,桶策略动作需配置为对象相关的动作。

桶策略动作可以通过排除策略来指定:

(可选项)排除以上授权操作:桶策略对除指定动作外的其他动作生效。

  • 不勾选:表示桶策略对指定的动作生效。
  • 勾选:表示桶策略对除指定动作外的其他动作生效。
  • 对于桶策略模板,“桶读写”模板默认勾选,其他模板默认不勾选。桶策略模板中的动作排除策略不支持修改。

与桶相关的动作

与桶相关的动作详细介绍请参见桶相关授权项

与对象相关的动作

与对象相关的动作详细介绍请参见对象相关授权项

Resource / NotResource

OBS支持的Resource表示在相应的资源上操作:

  • bucketname(桶操作):在上面Action中有“支持的桶Action”列表,如果要对桶执行列表中的操作,则Resource中只填写桶名。
  • bucketname/objectname(对象操作):在上面Action中有“支持的对象Action”列表,如果要对桶中对象执行相应的操作,则Resource需要填写“bucketname/objectname”。objectname支持通配符,比如对桶下directory目录对象有权限,则Resource填写为“bucketname/directory/*”;如果对桶下所有对象都有权限,则Resource填写为“bucketname/*”;如果同时需要对桶和桶下对象都有权限,则Resource填写为["examplebucket/*","examplebucket"]。

以下示例策略向租户b4bf1b36d9ca43d984fbcb9491b6fce9(域ID)下的用户ID为71f3901173514e6988115ea2c26d1999的user1用户授予examplebucket的所有操作权限(包含桶操作与对象操作)。

{ 
    "Statement":[ 
    { 
      "Sid":"test", 
      "Effect":"Allow", 
      "Principal": {"ID": ["domain/b4bf1b36d9ca43d984fbcb9491b6fce9:user/71f3901173514e6988115ea2c26d1999"]}, 
      "Action":["*"], 
      "Resource":["examplebucket/*","examplebucket"]
    } 
  ] 
}

OBS控制台在指定资源时,资源可以是整个桶(包含桶内对象)、当前整个桶,也可以是指定对象。

授权资源可以通过排除策略来指定:

(可选项)排除以上授权资源:桶策略对除指定资源外的其他资源生效。

  • 不勾选:表示桶策略对指定的OBS资源生效。
  • 勾选:表示桶策略对除设置外的其他OBS资源生效。

指定资源为整个桶(包含桶内对象)

指定资源为整个桶(包含桶内对象)时,桶策略动作需配置为桶和对象相关的动作,配置方法为“资源范围”选择“整个桶(包含桶内对象)”。

指定资源为桶

指定资源为当前整个桶时,桶策略动作需配置为桶相关的动作,配置方法为“资源范围”选择“当前桶”。

指定资源为对象

指定资源为桶内对象时,桶策略动作需配置为对象相关的动作,配置方法为“资源范围”选择“指定对象”,配置格式如下:

  • 对象:直接输入对象名称(包括文件夹名称)。例如,指定的资源是桶中imgs-folder文件夹下的example.jpg文件,则在资源输入框中输入以下内容。

    imgs-folder/example.jpg

  • 对象集:当指定给对象集时,使用通配符“*”。通配符“*”表示0个或多个字符的任意组合。其输入格式为:
    • 仅使用一个通配符“*”,表示桶中所有对象。
    • 使用“对象名称前缀”+“*”,表示桶中所有以此前缀开头的对象。示例:

      imgs*

    • 使用“*”+“对象名后缀”,表示桶中所有以此后缀结尾的对象。示例:

      *.jpg

Condition

除了指定效力、被授权用户、资源、动作外,桶策略还可以指定生效条件。只有当条件设置的表达式与访问请求中的值匹配时,桶策略才生效。条件是可选参数,用户可以根据业务需要选择是否使用。

例如,账号A拥有example桶,账号B会向账号A的example桶中上传对象,账号A想要拥有账号B向example桶中上传对象的完全控制权限(因为默认情况下对象由上传该对象的账号B拥有),则可以指定上传请求中必须包含x-obs-acl键,以及显式授予完全控制权限,完整的条件表达式如下:

条件运算符

x-obs-acl

StringEquals(不勾选“如果存在”)

bucket-owner-full-control

条件由条件运算符、条件键、条件值三部分组成,最终组成一个条件表达式,决定桶策略生效的条件。条件运算符和条件键两者之间存在互相限制的关联关系,例如:条件运算符选择了一个String类型的,比如StringEquals,条件键就只能选择String类型的,比如UserAgent。条件键选择了一个Date类型,比如CurrentTime,条件运算符就只能选择Date类型的,比如DateEquals。

每个条件可以包含多个“条件键-运算符-条件值”的组合。如下图的条件组合表示的判断条件为请求时间从2015-07-01T12:00:00Z到2018-04-16T15:00:00Z,请求的IP地址范围是192.168.176.0/24"或"192.168.143.0/24"网段的请求。

"Condition" : { 
  "DateGreaterThan" : { 
  "CurrentTime" : "2015-07-01T12:00:00Z" 
  }, 
  "DateLessThan": { 
  "CurrentTime" : "2018-04-16T15:00:00Z" 
  }, 
  "IpAddress" : { 
  "SourceIp" : ["192.168.176.0/24","192.168.143.0/24"] 
  } 
}

条件运算符

运算符与条件键、条件值一起构成完整的条件判断语句,当请求信息满足该条件时,策略才能生效。Statement中可选的条件运算符参见表2。同一个条件运算符如果同时对应多个相同的键,则只会保留最后一个键。

表2 各条件运算符含义

类型

关键字

说明

String

StringEquals

字符串匹配,简化为:streq

StringNotEquals

字符串不匹配,简化为:strneq

StringEqualsIgnoreCase

忽略大小写的字符串匹配,简化为:streqi

StringNotEqualsIgnoreCase

忽略大小写的字符串不匹配,简化为:strneqi

StringLike

宽松地区分大小写的匹配。这些值可以在字符串中的任何地方包括一个多字符匹配的通配符(*)和单字符匹配通配符(?)。简化为:strl

StringNotLike

非宽松区分大小写的匹配。这些值可以在字符串中的任何地方包括一个多字符匹配的通配符(*)和单字符匹配通配符(?)。简化为:strnl

Numeric

NumericEquals

相等,简化为:numeq

Numeric表示数值类型

NumericNotEquals

不相等,简化为:numneq

NumericLessThan

小于,简化为:numlt

NumericLessThanEquals

小于等于,简化为:numlteq

NumericGreaterThan

大于,简化为:numgt

NumericGreaterThanEquals

大于等于,简化为:numgteq

Date

(Date格式要求符合ISO 8601规范,例如:2015-07-01T12:00:00Z)

DateEquals

日期时间相等,简化为:dateeq

DateNotEquals

日期时间不相等,简化为:dateneq

DateLessThan

日期时间小于,简化为:datelt

DateLessThanEquals

日期时间小于等于,简化为:datelteq

DateGreaterThan

日期时间大于,简化为:dategt

DateGreaterThanEquals

日期时间大于等于,简化为:dategteq

Boolean

Bool

严格布尔值相等

IP address

IpAddress

指定的IP或IP范围

NotIpAddress

除指定的IP或IP范围外所有IP

使用后缀“IfExists”修饰条件运算符

后缀“IfExists”(控制台中的“如果存在”选项)表示对应请求值为空,或请求值满足条件均可使策略生效。如果请求值不存在就不检查对应condition,策略生效;或者请求值满足对应condition,策略生效。如“StringEqualsIfExists”表示请求值为空或请求值等于条件值均使策略生效。后缀“IfExists”对应控制台condition配置弹窗中的“如果存在”选项,勾选则使用“IfExists”后缀,不勾选则不使用。后缀“IfExists”支持修饰除“Null”运算符外的所有运算符。

使用多值运算符修饰条件运算符

多值运算符(控制台中的“限定词”选项)只有当条件键是多值条件键时,才能用于修饰运算符,判断条件键是否多值可查阅表4。对于多值条件键,一个条件键可以拥有多个满足要求的条件值,详情可参见表3。多值运算符对应控制台condition配置弹窗中的“限定词”选项,单值条件键系统默认选择“default”,ForAllValues对应请求中的所有值,ForAnyValue对应请求中的任何值。

表3 多值运算符

关键字

说明

举例

ForAllValues

(请求中的所有值)

测试请求集的每个成员的值是否为条件键集的子集。如果请求中的每个键值均与策略中的至少一个值匹配,则条件返回true。

此策略描述的是对于请求者资源标签必须是aa、bb或者cc,那么策略生效。

假如请求者发起共享镜像的组织路径:aa、cc,策略匹配成功。

假如请求者发起共享镜像的组织路径:aa、bb、cc、dd,策略匹配失败。

"Condition": {
    "ForAllValues:StringEquals": {
        "g:ResourceTag/test": [
            "aa",
            "bb",
            "cc"
        ]
    }
}

ForAnyValue

(请求中的任何值)

测试请求值集的至少一个成员是否与条件键值集的至少一个成员匹配。如果请求中的任何一个键值与策略中的任何一个条件值匹配,则条件返回true。对于没有匹配的键或空数据集,条件返回false。

此策略描述的是对于请求者资源标签中任一一个标签是aa、bb或者cc,那么策略生效。

假如请求者发起共享镜像的组织路径:aa、dd,策略匹配成功。

假如请求者发起共享镜像的组织路径:dd、ee,策略匹配失败。

"Condition": {
    "ForAnyValue:StringEquals": {
        "g:ResourceTag/test": [
            "aa",
            "bb",
            "cc"
         ]
    }
}

条件键

条件键包括动作无关的通用键、与桶动作有关的键和与对象动作有关的键3种。动作无关的通用键如表4所示,适用于所有操作:

当前拉美-墨西哥城一等局点已支持全量条件键,各区域的支持情况以控制台实际展示为准,如果您的桶所在区域不支持部分条件键,需要等待服务端逐步升级上线或使用支持指定条件键区域的桶。

表4 通用键

全局条件键

类型

是否多值

说明

g:CalledVia

String

用于控制跨服务访问。访问OBS的请求,可能来源于其他服务的请求转发,g:CalledVia会记录转发请求链中服务列表,如图1所示。例如用户请求通过ModelArts服务访问OBS下载对象,g:CalledVia会记录"service.ModelArts"。

图1 g:CalledVia

示例:表示仅允许通过ModelArts服务发起的请求调用OBS的下载对象API。

    "Condition": {
        "ForAnyValue:StringEquals": {
            "g:CalledVia": "service.ModelArts"
	 }
    }

g:CalledViaFirst

String

与g:CalledVia相同,特指g:CalledVia属性中的第一个元素,即第一个转发用户请求的服务。

g:CalledViaLast

String

与g:CalledVia相同,该属性特指g:CalledVia属性中的最后一个元素,即最后一个转发用户请求的服务。

g:ViaService

Boolean

指该请求是否是由云服务通过Impersonate协议代表用户身份发起的,当且仅当g:CalledVia属性非空时,该属性值为true。

  • true:是由云服务发起
  • false:不是由云服务发起

g:PrincipalIsService

Boolean

指请求者身份是否是云服务,可以通过该属性控制只有云服务身份才能访问指定API。

g:PrincipalServiceName

String

请求者的云服务名称。仅在请求者为云服务时,此条件键存在。

示例:表示条件键Condition在请求者是ModelArts服务时视为匹配。

    "Condition": {
        "StringEquals": {
            "g:PrincipalServiceName": "service.ModelArts"
        }
    }

g:CurrentTime

Date

服务器接收到请求的时间,格式为ISO 8601,例如:2012-11-11T23:59:59Z。

CurrentTime

Date

同g:CurrentTime。

EpochTime

Numeric

服务器接收到请求的时间,格式为Unix 时间戳,即从1970.01.01 00:00:00 UTC开始到目标时间所经过的 “秒数”,不考虑闰秒。

g:TokenIssueTime

Date

指访问凭据中的STSToken的签发时间。

g:DomainName

String

请求者的账号名称。如何获取请参见获取账号名称

g:DomainId

String

请求者的账号ID。如何获取请参见获取账号ID

g:PrincipalAccount

String

与g:DomainId属性完全一致。

g:PrincipalType

String

指请求者的身份主体类型,共有三种类型:User、AssumedAgency、ExternalUser。当以长期IAM凭据访问时,该属性取值为User;当以IAM委托会话访问时,取值为AssumedAgency;当以虚拟联邦用户访问时,取值为ExternalUser。

g:PrincipalUrn

String

请求者身份的URN。不同身份类型的URN格式如下:

IAM用户:iam::<domain-id>:user:<user-name>

IAM委托:sts::<domain-id>:assumed-agency:<agency-name>/<session-name>

虚拟联邦用户:sts::<domain-id>:external-user:<idp-id>/<session-name>

相关参数如何获取请参见获取domain-id(账号ID)、user-name(IAM用户名)、agency-name(委托名),session-name为获取委托的临时访问密钥和securitytoken时填写的委托方对应的企业用户名。

g:PrincipalId

String

指请求者的身份ID,不同身份类型的ID格式如下:

IAM 用户:<user-id>

IAM 委托:<agency-id>:<session-name>

虚拟联邦用户:<idp-id>:<session-name>

相关参数如何获取请参见user-id(IAM用户ID)、agency-id(委托ID),session-name为获取委托的临时访问密钥和securitytoken时填写的委托方对应的企业用户名。

g:UserName

String

请求者的IAM用户名。如何获取请参见获取IAM用户名

g:UserId

String

请求者的IAM用户ID。如何获取请参见获取IAM用户ID

g:PrincipalOrgId

String

指请求者身份所属的组织ID,用户可以通过该属性控制只有特定组织内的身份才能访问指定API,仅在请求者存在所属组织时,此条件键存在。

g:PrincipalOrgPath

String

请求者账号所属组织中的路径,可以通过该属性控制只有组织中特定层级的账号才能访问指定API。仅在请求者存在所属组织时,此条件键存在。一个账号的组织路径的格式如下:

<organization-id>/<root-id>/(<ou-id>/)*<account-id>

g:ResourceOrgId

String

桶拥有者的账号所在的组织ID

g:ResourceOrgPath

String

桶拥有者的账号在组织中的路径。

g:ResourceAccount

String

桶拥有者的账号ID。如何获取请参见获取账号ID

g:MFAPresent

Boolean

是否使用MFA多因素认证方式获取Token。

  • true:使用MFA
  • false:不使用MFA

g:MFAAge

Numeric

通过MFA多因素认证方式获取的STS Security Token的生效时长。该条件需要和g:MFAPresent一起使用。仅在使用MFA认证登录控制台访问,或使用MFA获取的委托会话发出请求时,此条件键存在。单位为秒。

g:Referer

String

请求携带的HTTP referer header,注意由于该属性是由客户端指定的,故不推荐使用它作为访问控制的安全依赖。

Referer

String

同g:Referer。

g:RequestedRegion

String

请求的目标区域region。如请求的目标云服务是全局服务时,需要设置为NULL;如请求的目标云服务是区域级服务时,则设置为对应的区域ID即可,例如cn-north-4。仅在请求为部分区域级服务时,此条件键存在。

g:RequestTag/<tag-key>

String

请求中携带的标签,标签键<tag-key>不区分大小写。当请求者在调用API时传入了标签(例如配置桶标签、创建桶同时配置标签等),可以通过此条件键检查此请求是否包含对应标签,您需要手动输入标签键。

g:ResourceTag/<tag-key>

String

请求所访问的资源身上携带的标签。用户可以通过该属性控制只能访问带有特定标签的资源。标签键<tag-key>不区分大小写,您需要手动输入标签键。

g:TagKeys

String

指请求中携带的所有标签的key组成的列表。

示例:请求携带的标签中,匹配"group"或"country"中的任何一个时,策略生效。

    "Condition": {
        "ForAnyValue:StringNotEquals": {
            "g:TagKeys": ["group", "country"]
        }
     }

g:SecureTransport

Boolean

请求是否使用了SSL协议。

  • true:使用SSL协议
  • false:不使用SSL协议

SecureTransport

Boolean

同g:SecureTransport

TlsVersion

Numeric

请求使用的TLS协议版本。

TlsVersion使用的约束限制有:

  • 并行文件系统不支持配置 TlsVersion 条件键约束客户端请求使用的 TLS 协议版本。
  • 如果客户端使用控制台、SDK、OBS Browser+ 访问,约束 TLS 协议版本时需至少允许 1.2 版本的 TLS 协议访问,否则请求会被拒绝。注意,用户通过控制台访问时,不会携带用户原始链接的 TLS 协议版本,OBS感知到的是控制台系统使用的 TLS 协议版本。
  • getBucketLocation(获取桶区域位置)接口不支持通过 TlsVersion 约束请求。

示例:拒绝 TLS 版本低于 1.2 的客户端发起的下载对象请求

    "Condition":{
        "NumericLessThan":{
            "TlsVersion": "1.2"
        }
    }

g:SourceIdentity

String

特指IAM临时凭据STSToken中的source_identity字段。source_identity字段在用户第一次通过STS服务的AssumeAgency API获取IAM临时凭据时指定,且在后续的委托切换中不可再更改。

g:SourceIp

IP address

用于限制发起请求访问OBS的公网IP。注意:如果请求需要经过代理或IP NAT,请求的公网IP会发生变化,OBS会检查请求访问服务端的最后一跳公网源IP。

SourceIp

IP address

用于限制发起请求的IP,优先识别客户携带的IP,如果未携带IP则取网络上一跳IP地址。该条件键存在一定的IP伪造风险。

SourceVpc

String

请求发起的VPC ID。如何获取VPC ID请参见获取虚拟私有云的ID信息

g:SourceVpce

String

发起请求来源的VPC终端节点ID。获取方法参见如何获取VPC终端节点ID

SourceVpce

String

同g:SourceVpce。

g:VpcSourceIp

IP address

指从VPC内发起的请求的源IP地址。

g:UserAgent

String

指请求携带的HTTP User-Agent header,注意该属性是由客户端指定的,故不推荐使用它作为访问控制的安全依赖。

UserAgent

String

同g:UserAgent

g:EnterpriseProjectId

String

指该请求对应的企业项目ID或者请求操作的资源所属的企业项目ID。如何获取请参见获取企业项目ID

ServiceAgency

String

IAM委托名称,委托云服务访问OBS。如何获取请参见获取委托名

g:SourceAccount

String

跨服务访问场景下,云服务是为哪一个资源所发起的请求,g:SourceAccount表示的是该资源的所属主账号。

g:SourceUrn

String

跨服务访问场景下,云服务是为哪一个资源所发起的请求,g:SourceUrn表示的是该资源URN。

与动作有关的条件键需要在选择指定的Action时才能使用,Action和条件键的配对使用关系如表5表6所示:

表5 与桶动作有关的键

Action

可选键

描述

说明

ListBucket

prefix

String类型,列举以指定的字符串prefix开头的对象。

配置prefix、delimiter、max-keys后,执行List操作时需要带上符合条件的键值对信息,桶策略才生效。

例如,某桶配置了所有账号可读的桶策略,且条件运算符=NumericEquals,键=max-keys,值=100。则所有账号列举对象时需要在桶访问域名末尾加上?max-keys=100,才能完成对象列举,且列举的对象将是按照字典顺序的前100个对象。

delimiter

String类型,用来分组桶内对象的字符串。

max-keys

Numeric类型,指定返回的最大数,返回的对象列表将是按照字典顺序的最多前max-keys个对象。

ListBucketVersions

prefix

String类型,列举以指定的字符串prefix开头的多版本对象。

delimiter

String类型,用来分组桶内多版本对象的字符串。

max-keys

Numeric类型,指定返回的最大数,返回的对象列表将是按照字典顺序的最多前max-keys个对象。

PutBucketAcl

x-obs-acl

String类型,设置桶ACL。修改桶ACL时在头域中可以包含的Canned ACL,取值范围为private|public-read|public-read-write|bucketowner-read|log-delivery-write。

表6 与对象动作相关的键

Action

可选键

描述

PutObject

x-obs-acl

String类型,设置对象ACL。上传对象时在头域中可以包含的Canned ACL,取值范围为private|public-read|public-read-write|bucketowner-read|bucket-owner-full-control|log-delivery-write。

x-obs-copy-source

String类型,用来指定复制对象时对象操作的源桶名以及源对象名。格式如/bucketname/keyname。

x-obs-metadata-directive

String类型,用来指定新对象的元数据是从元对象中复制,还是用请求中的元数据替换,取值范围为COPY|REPLACE。

x-obs-server-side-encryption

String类型,用来指定桶中对象以SSE-KMS方式加密存储,取值为kms。

PutObjectAcl

x-obs-acl

String类型,设置对象ACL。上传对象时在头域中可以包含的Canned ACL,取值范围为private|public-read|public-read-write|bucketowner-read|bucket-owner-full-control|log-delivery-write。

GetObjectVersion

versionId

String类型,获取versionId为xxx版本的对象。

GetObjectVersionAcl

versionId

String类型,获取versionId为xxx版本的对象ACL。

PutObjectVersionAcl

versionId

String类型,设置versionId。

x-obs-acl

String类型,设置versionId为xxx版本的对象ACL。上传对象时在头域中可以包含的Canned ACL,取值范围为private|public-read|public-read-write|bucketowner-read|bucket-owner-full-control|log-delivery-write。

DeleteObjectVersion

versionId

String类型,删除versionId为xxx版本的对象。

Policy权限判断逻辑

Policy在做权限判断时,每条statement会有3种结果,Explicit Deny、Allow和Default Deny。Bucket Policy对于Policy中的多条statement采用以下规则进行判定:Bucket Policy对Policy中包含的每条statement都要进行Explicit Deny、Allow和Default Deny的判断,最终的判决结果遵循Explicit Deny>Allow>Default Deny的规则;

1.如果没有显式的Deny和Allow,则请求权限判别为Default Deny

2.显式的Deny覆盖Allow;

3.Allow覆盖默认的Default Deny;

4.statement的顺序没有影响。

表7 Statement Result

名称

说明

explicit deny

显式拒绝访问,资源匹配的statement中effect="deny",表明Request无法进行访问,此时直接返回无权限失败。

allow

允许访问,资源匹配的statement中effect="allow",表明Request可以进行访问,继续下一条statement判断。

default deny

默认拒绝访问,在没有任何一条statement与Request匹配上,默认本次Request无法进行访问。

如果ACL和Bucket Policy同时使用, 则ACL对某个租户的授权结果allow,可以被Bucket Policy的显式Deny覆盖。

如果Bucket Policy和IAM Policy同时使用,同样遵循explicit deny>allow>default deny的规则。

SSE-KMS服务端加密对象,不支持Bucket ACL/Policy进行跨租户授权访问。

父主题: 桶策略

相关文档