obs
创建IAM委托
更新时间:2020/10/13 GMT+08:00
在使用OBS的部分特性时,如:跨区域复制,日志记录,需要使用IAM委托功能给OBS授予相关的权限,以委托OBS处理您的数据。
创建用于跨区域复制的委托
- 在“创建跨区域复制规则”对话框,单击“创建委托”,进入“统一身份认证服务”管理控制台“委托”页面。
- 单击“创建委托”,进行委托创建。
- 输入“委托名称”。
- “委托类型”选择“云服务。
- “云服务”选择“对象存储服务 OBS”。
- 选择“持续时间”。
- 在“权限选择”右侧,单击“配置权限”。
IAM提供“策略视图”和“项目视图”两种权限配置方式,两种方式产生的授权效果相同,请根据您的需求选择合适的方式,此处以项目视图为例。
- 单击“确定”,完成委托创建。
创建用于上传日志的委托
- 在“日志记录”对话框,单击“创建委托”,进入“统一身份认证服务”管理控制台“委托”页面。
- 单击“创建委托”,进行委托创建。
- 输入“委托名称”。
- “委托类型”选择“云服务。
- “云服务”选择“对象存储服务 OBS”。
- 选择“持续时间”。
- 在“权限选择”右侧,单击“配置权限”。
IAM提供“策略视图”和“项目视图”两种权限配置方式,两种方式产生的授权效果相同,请根据您的需求选择合适的方式,此处以项目视图为例。
- 在全局服务右侧的操作列单击“选择策略”,搜索并选择拥有日志存储桶上传权限的自定义策略,单击下方的“确定”完成授权。
如还未创建自定义策略,可单击上方的“修改已有策略或新建自定义策略”,在权限页面创建自定义策略。
自定义策略的作用范围选择“全局级服务”,策略配置方式选择“JSON视图”,策略内容如下:
下方JSON中mybucketlogs需要替换为实际日志存储桶的桶名。
{ "Version": "1.1", "Statement": [ { "Action": [ "obs:object:PutObject" ], "Resource": [ "OBS:*:*:object:mybucketlogs/*" ], "Effect": "Allow" } ] } - (可选)如果日志存储桶开启了默认加密,日志存储桶所在区域还需要具有“KMS Administrator”权限。
在日志存储桶所在区域项目右侧的操作列,单击“选择策略”,搜索并选择“KMS Administrator”策略,单击下方的“确定”完成授权。
- 在全局服务右侧的操作列单击“选择策略”,搜索并选择拥有日志存储桶上传权限的自定义策略,单击下方的“确定”完成授权。
- 单击“确定”,完成委托创建。
父主题: 相关操作参考
