更新时间:2025-09-04 GMT+08:00
分享

OBS委托授权

如果您的源站为华为云OBS私有桶,且需要使用OBS回源鉴权功能,您需要开启OBS委托授权,授权成功后,CDN将有权限访问您账号下所有私有桶资源。

请勿删除CDN与OBS的委托关系,否则会导致CDN无法在回源时从OBS私有桶获取相应资源。

配置约束

主账号默认拥有所有权限,配置委托时无需添加权限。如果您是IAM用户,那么您需要有以下权限才可正常开启OBS委托授权:

IAM权限:

  • 查询指定条件下的委托列表信息:iam:agencies:listAgencies
  • 创建委托:iam:agencies:createAgency
  • 为委托授予项目服务权限:iam:permissions:grantRoleToAgencyOnProject

CDN权限:

  • 修改计费模式:cdn:configuration:modifyChargeMode
  • CDN所有只读权限:CDN ReadOnlyAccess

注意事项

  • CDN对其他云服务有诸多依赖关系,因此在您开启OBS委托授权后,还需要参考CDN与其他服务间依赖关系配置相关策略后才能正常使用OBS私有桶源站。
  • 华为云CDN于北京时间2025年4月2日开始启用新版的OBS委托授权功能,相对于旧版,新版收缩了部分权限。如果您已经启用了旧版的OBS委托授权,目前有收缩权限的需求,请参考如何用新版OBS委托授权的权限替换旧版完成设置。

操作步骤

  1. 登录CDN控制台
  2. 在左侧菜单栏中,选择域名管理
  3. 在域名管理界面右上方单击“开启OBS委托授权”
图1 OBS委托授权
  1. 单击“确定”,系统将为您在IAM管理控制台委托页面创建名为“CDNAccessPrivateOBS”委托关系,CDN将有权限(只读权限)访问您的私有OBS桶。

如果您的OBS桶中某些文件进行了KMS加密,此时CDN还无法访问KMS加密文件,您需要为“CDNAccessPrivateOBS”委托配置“kms:cmk:get”“kms:dek:crypto”权限,CDN才能读取并加速KMS加密文件。

  1. (可选)为“CDNAccessPrivateOBS”委托配置“kms:cmk:get”“kms:dek:crypto”权限。
    1. 登录华为云控制台,在控制台首页中选择“管理与监管 > IAM”,进入IAM控制台。
    2. 在左侧菜单栏中,选择“委托”。
    3. 在“委托”界面找到“CDNAccessPrivateOBS”,单击“操作”“授权”,进入“选择策略”界面。
    4. 单击右上方“新建策略”,具体设置如下:
      • 策略名称:可自定义
      • 策略配置方式:可视化视图
      • 策略内容:
        • 允许
        • 云服务:数据加密服务(KMS)
        • 选择操作:“kms:cmk:get”“kms:dek:crypto”
        • 所有资源:所有资源
    5. 单击“下一步”,完成自定义策略创建。
    6. 选择上一步新建的策略,单击“下一步”
    7. 选择“指定区域项目资源”,根据OBS桶的位置勾选相应的区域。
    8. 单击“确定”,完成配置。

相关文档