文档首页 > > 控制台指南> 权限控制> 权限控制方式介绍> 桶策略和对象策略

桶策略和对象策略

分享
更新时间: 2019/06/13 15:48

桶和对象的拥有者

桶的拥有者是创建桶的账号。一个账号下的IAM用户创建的桶,桶拥有者为该IAM用户的父级账号。

对象的拥有者是上传对象的账号,而不是对象所属的桶的拥有者。例如,如果账号B被授予访问账号A的桶的权限,然后账号B上传一个文件到桶中,则账号B是对象的拥有者,而不是账号A。

桶策略

桶策略是作用于所配置的OBS桶及桶内对象的。OBS桶拥有者通过桶策略可为IAM用户或其他账号授权桶及桶内对象的操作权限。

桶策略的应用场景

  • 不用IAM策略控制访问权限的情况下,允许其他账号访问OBS资源,可以使用桶策略的方式授权其他账号对应的权限。
  • 当不同的桶对于不同的IAM用户有不同的访问控制需求时,需使用桶策略分别授权IAM用户不同的权限。
  • 桶拥有者允许其他账号访问自己的桶时,可使用桶策略授权其他账号对应的权限。

标准桶策略

标准桶策略提供三种策略供用户直接设置。

  • 私有:除桶ACL授权外的其他用户无桶的访问权限。
  • 公共读:任何用户都可以对桶内对象进行读操作。
  • 公共读写:任何用户都可以对桶内对象进行读/写/删除操作。

桶创建成功后,默认桶策略为私有,仅桶拥有者具有完全控制权限,其他用户在未经授权的情况下均无访问权限。为确保数据安全,不推荐用户使用公共读或公共读写,建议使用私有。

表1 标准桶策略描述

参数

私有

公共读

公共读写

效果

允许

允许

被授权用户

*(任何用户)

*(任何用户)

资源

*(桶内所有对象)

*(桶内所有对象)

动作

  • GetObject
  • GetObjectVersion
  • HeadBucket
  • ListBucket
  • GetObject
  • GetObjectVersion
  • PutObject
  • DeleteObject
  • DeleteObjectVersion
  • HeadBucket
  • ListBucket

条件

说明:

在桶版本号为3.0的桶中,我们更新了公共读和公共读写的默认权限,以解决在Browser挂载外部桶时权限不足的问题:

  • 公共读权限增加了HeadBucket和ListBucket权限。
  • 公共读写权限增加了HeadBucket和ListBucket权限。
  • 如果您需要在Browser挂载外部桶,请手动更新标准桶策略配置。

高级桶策略:

高级桶策略提供三种方式,方便用户快速设置桶策略。

  • 只读模式:被授权用户将拥有桶内指定对象的读权限,对应可以执行获取对象内容及元数据操作。
  • 读写模式:被授权用户将拥有桶内指定对象的读写权限,对应可以执行获取对象内容及元数据、上传对象、删除对象等操作。
  • 自定义模式:自定义配置被授权用户可以拥有桶或对象的操作权限,由效果、被授权用户、资源、动作和条件5个桶策略基本参数共同决定。详细请参见桶策略参数说明

对象策略

对象策略即为桶策略中针对对象的策略,桶策略中针对对象的策略是通过配置资源来实现对象匹配的,资源可配置“*”(表示所有对象)或对象前缀。对象策略则是直接选定对象后,配置到选定的对象资源的策略。

分享:

    相关文档

    相关产品

文档是否有解决您的问题?

提交成功!

非常感谢您的反馈,我们会继续努力做到更好!

反馈提交失败,请稍后再试!

*必选

请至少选择或填写一项反馈信息

字符长度不能超过200

提交反馈 取消

如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨

跳转到云社区