授权策略简介
通过对存储桶添加授权策略,可以对某个账号、某个子账号、某个来源IP或IP地址段授权存储桶或者对象的操作权限。
当权限设置冲突时,遵照权限最小化原则处理,即优先判断账号是否被禁止,若没有则判断是否存在允许的规则。如果既没有禁止也没有允许,则遵守桶的全局读写权限。
操作步骤
登录铜牛云控制台。
在左侧导航栏中,依次选择“产品与服务> 存储> 对象存储”。
在对象存储导航栏中选择“桶列表”,进入桶列表页面。
单击桶名称,进入桶空间设置页面。
选择“权限管理”页签。
在“授权策略”区域,单击“设置”。
在授权策略窗口,单击“新建策略”。
在新建策略窗口,设置各项参数。
参数
说明
授权用户
选择或输入待授权的账号,并选择允许还是拒绝该账号的操作权限。
● 子账号:至当前账号的IAM子账号。当对IAM用户有不同的访问需求时,可对不同IAM用户分别授予不同的权限。
● 其他账号:当允许或拒绝其他账号访问桶时,可以通过桶策略对其他账号进行权限设置。
● 全部账号:对所有账号设置权限。
授权操作
对桶或指定对象授权读操作或写操作的权限。
授权桶
指定待授权的资源为整个桶还是桶内对象。
对象名称
当待授权的资源为桶内对象时,输入对象名称。多个对象名称之间使用英文逗号“,”分隔。
输入对象名称时支持通配符“*”。例如:当指定所有JPG格式的图片时,可以输入“*.jpg”;当指定所有以“uu”开头的文件时,可以输入“uu*”。
如需输入目录下面的对象,需要输入“目录名称/对象名称”。例如,当指定对象为images目录下的1.png时,需输入“images/1.png”。
授权条件
输入待授权的用户源IP地址或IP地址段。多个IP地址或IP地址段之间使用英文逗号“,”分隔。
● 无:表示不限制用户IP地址。
● IP=:表示待授权的是指定范围内的IP地址。
● IP≠:表示待授权的是指定范围以外的IP地址。
配置完成后,单击“确定”。
