通过IAM身份策略授予使用OBS的权限（IAM新版）

前提条件

在授权操作前，请您了解可以添加的OBS权限，并结合实际需求进行选择。OBS支持的系统身份策略，请参见身份策略权限管理。如果您需要对除OBS之外的其他服务授权，IAM支持服务的所有权限请参见系统权限。

示例流程

图1 给用户授予OBS权限流程

1. 创建用户或创建用户组

   在IAM控制台创建用户或用户组。

2. 将系统身份策略附加至用户或用户组

   为用户或用户组授予对象存储服务只读权限的系统身份策略“OBSReadOnlyPolicy”，或将身份策略附加至用户或用户组。

3. 用户登录并验证权限

   使用已授权的用户登录管理控制台，验证权限：

   • 在OBS管理控制台桶列表界面，单击右上角“创建桶”，尝试创建桶操作，如果无法创建桶（假设当前权限仅包含OBSReadOnlyPolicy），表示“OBSReadOnlyPolicy”已生效。
   • 在“服务列表”中选择除对象存储服务外（假设当前策略仅包含OBSReadOnlyPolicy）的任一服务，如果提示权限不足，表示“OBSReadOnlyPolicy”已生效。

自定义身份策略样例

如果系统预置的OBS系统身份策略，不满足您的授权要求，可以创建自定义策略。自定义策略中可以添加的授权项（Action）请参考身份策略授权参考。

目前华为云支持以下两种方式创建自定义策略：

• 可视化视图创建自定义身份策略：无需了解策略语法，按可视化视图导航栏选择云服务、操作、资源、条件等策略内容，可自动生成策略。
• JSON视图创建自定义身份策略：可以在选择策略模板后，根据具体需求编辑策略内容；也可以直接在编辑框内编写JSON格式的策略内容。

具体创建步骤请参见：创建自定义身份策略并附加至主体。

您可以在创建自定义策略时，可以通过资源类型（Resource）元素来选择特定资源，以及条件键（Condition）元素来控制策略何时生效。支持的资源类型和条件键请参考身份策略授权参考。下面为您介绍常用的OBS自定义策略样例。

• 示例1：给用户授予OBS的所有权限
  此策略表示用户可以对OBS进行任何操作。

  {
      "Version": "5.0",
      "Statement": [
          {
              "Effect": "Allow",
              "Action": [
                  "obs:*:*"
              ]
          }
      ]
  }

• 示例2：给用户授予OBS管理控制台的所有权限

  此策略表示用户可以在管理控制台对OBS进行所有操作。

  由于用户登录OBS管理控制台时，除了访问OBS资源，还会访问一些其他服务的资源，如CTS审计信息，CDN加速域名，KMS密钥等。因此除了配置和示例1同样的OBS权限外，还需要配置其他服务的访问权限。其中CDN属于全局服务，CTS、KMS等属于区域级服务，需要根据您实际使用到的服务和区域分别在全局项目和对应区域项目中配置Tenant Guest权限。Tenant Guest权限包含除统一身份认证服务外，其他所有服务的只读权限。

  {
      "Version": "5.0",
      "Statement": [
          {
              "Effect": "Allow",
              "Action": [
                  "obs:*:*"
              ]
          }
      ]
  }

• 示例3：给用户授予桶内所有对象的列举和下载权限
  此策略表示用户可以对桶obs-example下的所有对象进行列举和下载。

  {
      "Version": "5.0",
      "Statement": [
          {
              "Effect": "Allow",
              "Action": [
                  "obs:object:getObject",
                  "obs:bucket:listBucket"
              ],
              "Resource": [
                  "obs:*:*:object:obs-example/*",
                  "obs:*:*:bucket:obs-example"
              ]
          }
      ]
  }

• 示例4：给用户授予桶内对象的列举和指定目录对象的下载权限
  此策略表示用户只能下载桶obs-example中“my-project/”目录下的所有对象，其他目录下的对象虽然可以列举，但无法下载。

  {
      "Version": "5.0",
      "Statement": [
          {
              "Effect": "Allow",
              "Action": [
                  "obs:object:getObject",
                  "obs:bucket:listBucket"
              ],
              "Resource": [
                  "obs:*:*:object:obs-example/my-project/*",
                  "obs:*:*:bucket:obs-example"
              ]
          }
      ]
  }

• 示例5：给用户授予桶的读写权限（限定目录）
  此策略表示用户可以对桶obs-example中“my-project”目录下的所有的对象进行列举、下载、上传和删除。

  {
      "Version": "5.0",
      "Statement": [
          {
              "Effect": "Allow",
              "Action": [
                  "obs:object:getObject",
                  "obs:object:listMultipartUploadParts",
                  "obs:bucket:listBucket",
                  "obs:object:deleteObject",
                  "obs:object:putObject"
              ],
              "Resource": [
                  "obs:*:*:object:obs-example/my-project/*",
                  "obs:*:*:bucket:obs-example"
              ]
          }
      ]
  }

• 示例6：给用户授予桶的所有权限
  此策略表示用户可以对桶obs-example进行任何操作。

  {
      "Version": "5.0",
      "Statement": [
          {
              "Effect": "Allow",
              "Action": [
                  "obs:*:*"
              ],
              "Resource": [
                  "obs:*:*:bucket:obs-example",
                  "obs:*:*:object:obs-example/*"
              ]
          }
      ]
  }

• 示例7：拒绝用户上传对象

  拒绝策略需要同时配合其他策略使用，否则没有实际作用。用户被授予的策略中，一个授权项的作用如果同时存在Allow和Deny，则遵循Deny优先原则。

  如果您给用户授予OBSBasicOperationsPolicy的系统身份策略，但不希望用户拥有OBSBasicOperationsPolicy中定义的上传对象的权限，您可以创建一条拒绝上传对象的自定义策略，然后同时将OBSBasicOperationsPolicy和拒绝策略授予用户，根据Deny优先原则，则用户可以执行除了上传对象外OBSBasicOperationsPolicy允许的所有操作。拒绝策略示例如下：

  {
      "Version": "5.0",
      "Statement": [
          {
              "Effect": "Deny",
              "Action": [
                  "obs:object:putObject"
              ]
          }
      ]
  }