更新时间:2024-02-08 GMT+08:00
创建IAM委托
在使用OBS的部分特性时,需要使用IAM委托功能给OBS授予相关的权限,以委托OBS处理您的数据。
创建用于跨区域复制的委托
- 在OBS控制台“创建跨区域复制规则”对话框,单击“查看IAM委托”,进入“统一身份认证服务”控制台“委托”页面。
- 单击“创建委托”,进行委托创建。
- 输入“委托名称”。
- “委托类型”选择“云服务”。
- “云服务”选择“对象存储服务 OBS”。
- 选择“持续时间”。
- 单击“下一步”。
创建委托控制台界面有新版和旧版两种,以下操作步骤以新版为例。
- 在“选择策略”页面,选择“OBS Administrator”权限,单击“下一步”。
- 选择授权范围方案时,选择“全局服务资源”,单击下方的“确定”完成委托创建。
- (可选)如果勾选了“复制使用KMS加密的对象”,源桶和目标桶所在区域还需要具有“KMS Administrator”权限。
- 在“统一身份认证服务”管理控制台“委托”页面,单击上一步创建的委托名称。
- 选择“授权记录”页签,单击“授权”。
- 在“选择策略”页面选择“KMS Administrator”权限,单击下方的“下一步”。
- 选择授权范围方案时,选择“指定区域项目资源”,分别选择源桶和目标桶所在区域的项目,单击下方的“确定”完成委托创建。
创建用于上传日志的委托
- 在“日志记录”对话框,单击“创建委托”,进入“统一身份认证服务”管理控制台“委托”页面。
- 单击“创建委托”,进行委托创建。
- 输入“委托名称”。
- “委托类型”选择“云服务”。
- “云服务”选择“对象存储服务 OBS”。
- 选择“持续时间”。
- 单击“下一步”。
- 在“选择策略”页面,选择拥有日志存储桶上传权限的自定义策略,然后单击“下一步”。
如还未创建自定义策略,请先参见创建自定义策略创建。
自定义策略的作用范围选择“全局级服务”,策略配置方式选择“JSON视图”,策略内容如下:
下方JSON中mybucketlogs需要替换为实际日志存储桶的桶名。
{ "Version": "1.1", "Statement": [ { "Action": [ "obs:object:PutObject" ], "Resource": [ "OBS:*:*:object:mybucketlogs/*" ], "Effect": "Allow" } ] } - 选择授权范围方案时,选择“全局服务资源”,单击下方的“确定”完成委托创建。
- (可选)如果日志存储桶开启了默认加密,日志存储桶所在区域还需要具有“KMS Administrator”权限。
- 在“统一身份认证服务”管理控制台“委托”页面,单击上一步创建的委托名称。
- 选择“授权记录”页签,单击“授权”。
- 在“选择策略”页面选择“KMS Administrator”权限,单击下方的“下一步”。
- 选择授权范围方案时,选择“指定区域项目资源”,选择日志存储桶所在区域的项目,单击下方的“确定”完成委托创建。
父主题: 相关操作参考
