OBS委托授权
如果您的源站为华为云OBS私有桶,您需要开启OBS委托授权,授权成功后,CDN将有权限访问您账号下所有私有桶资源。
配置约束
主账号默认拥有所有权限,配置委托时无需添加权限。如果您的账号是IAM子账号,那么您的子账号需要有以下权限才可正常开启OBS委托授权:
IAM权限:
- iam:agencies:listAgencies
- iam:agencies:createAgency
- iam:permissions:grantRoleToAgencyOnProject
CDN权限:
- cdn:configuration:modifyChargeMode
- CDN ReadOnlyAccess
操作步骤
- 登录华为云控制台,在控制台首页中选择“ CDN与智能边缘 > 内容分发网络 CDN”,进入CDN控制台。
- 在左侧菜单栏中,选择 。
- 在域名管理界面右上方单击“开启OBS委托授权”。
- 单击“确定”,系统将为您在IAM管理控制台委托页面创建名为“CDNAccessPrivateOBS”委托关系,CDN将有权限(只读权限)访问您的私有OBS桶。
- 请勿删除CDN与OBS的委托关系,否则会导致CDN无法在回源时从OBS私有桶获取相应资源。
如果您的OBS桶中某些文件进行了KMS加密,此时CDN还无法访问KMS加密文件,您需要为“CDNAccessPrivateOBS”委托配置“kms:cmk:get”和“kms:dek:crypto”权限,CDN才能读取并加速KMS加密文件。
- (可选)为“CDNAccessPrivateOBS”委托配置“kms:cmk:get”和“kms:dek:crypto”权限。
- 登录华为云控制台,在控制台首页中选择“管理与监管 > IAM”,进入IAM控制台。
- 在左侧菜单栏中,选择“委托”。
- 在“委托”界面找到“CDNAccessPrivateOBS”,单击“操作”列“授权”,进入“选择策略”界面。
- 单击右上方“新建策略”,具体设置如下:
- 策略名称:可自定义
- 策略配置方式:可视化视图
- 策略内容:
- 允许
- 云服务:数据加密服务(KMS)
- 选择操作:“kms:cmk:get”和“kms:dek:crypto”
- 所有资源:所有资源
- 单击“下一步”,完成自定义策略创建。
- 选择上一步新建的策略,单击“下一步”,
- 选择“指定区域项目资源”,根据OBS桶的位置勾选相应的区域。
- 单击“确定”,完成配置。