OBS委托授权

配置约束

主账号默认拥有所有权限，配置委托时无需添加权限。如果您是IAM用户，那么您需要有以下权限才可正常开启OBS委托授权：

IAM权限：

• 查询指定条件下的委托列表信息：iam:agencies:listAgencies
• 创建委托：iam:agencies:createAgency
• 为委托授予项目服务权限：iam:permissions:grantRoleToAgencyOnProject

CDN权限：

• 修改计费模式：cdn:configuration:modifyChargeMode
• CDN所有只读权限：CDN ReadOnlyAccess

注意事项

• CDN对其他云服务有诸多依赖关系，因此在您开启OBS委托授权后，还需要参考CDN与其他服务间依赖关系配置相关策略后才能正常使用OBS私有桶源站。
• 华为云CDN于北京时间2025年4月2日开始启用新版的OBS委托授权功能，相对于旧版，新版收缩了部分权限。如果您已经启用了旧版的OBS委托授权，目前有收缩权限的需求，请参考如何用新版OBS委托授权的权限替换旧版完成设置。

操作步骤

1. 登录CDN控制台。
2. 在左侧菜单栏中，选择“域名管理”。
3. 在域名管理界面右上方单击“开启OBS委托授权”。

图1 OBS委托授权

4. 单击“确定”，系统将为您在IAM管理控制台委托页面创建名为“CDNAccessPrivateOBS”委托关系，CDN将有权限（只读权限）访问您的私有OBS桶。

如果您的OBS桶中某些文件进行了KMS加密，此时CDN还无法访问KMS加密文件，您需要为“CDNAccessPrivateOBS”委托配置“kms:cmk:get”和“kms:dek:crypto”权限，CDN才能读取并加速KMS加密文件。

5. （可选）为“CDNAccessPrivateOBS”委托配置“kms:cmk:get”和“kms:dek:crypto”权限。
   1. 登录华为云控制台，在控制台首页中选择“管理与监管 > IAM”，进入IAM控制台。
   2. 在左侧菜单栏中，选择“委托”。
   3. 在“委托”界面找到“CDNAccessPrivateOBS”，单击“操作”列“授权”，进入“选择策略”界面。
   4. 单击右上方“新建策略”，具体设置如下：
      • 策略名称：可自定义
      • 策略配置方式：可视化视图
      • 策略内容：
        • 允许
        • 云服务：数据加密服务（KMS）
        • 选择操作：“kms:cmk:get”和“kms:dek:crypto”
        • 所有资源：所有资源
   5. 单击“下一步”，完成自定义策略创建。
   6. 选择上一步新建的策略，单击“下一步”，
   7. 选择“指定区域项目资源”，根据OBS桶的位置勾选相应的区域。
   8. 单击“确定”，完成配置。

相关FAQ

1. 使用OBS私有桶做源站，创建授权委托失败