作者:張醫博
功能描述
- 使用者想針對子賬号授權通路某個 bucket,将隻讀、讀寫、完全控制分開授權;
- 使用者想針對跨賬号進行授權。
- 使用者想針對匿名使用者進行管理。
- 在授權基礎上增加條件限制,從 IP 緯度限制使用者的通路;
bucket policy 和 RAM policy 差別
- 二者同時配置的情況下,可以并行存在,但如果政策出現沖突,将以範圍粒度更大的優先。
- RAM policy 更适合開發者通過 AccesskeyID ,AccesskeySecret 進行調用。bucket policy 用在控制台登入或者匿名使用者通路的場景較多
- RAM policy 定義的 Action(API) 細化的場景更多,bucket policy 粒度較粗。
授權場景
先了解完全控制和讀寫有什麼差別,完全控制是說對 bucket 屬性本身進行控制,包括 bucket 的配置權限。讀寫隻是能上傳、下載下傳 OSS 的檔案;
bucket 是私有的,隻開放某個目錄公開通路
bucket 是私有的,隻想某個 IP 匿名能通路
隻想讓子賬号擁有某個目錄的管理權限,其他目錄要寫具體權限
1、先在 OSS 控制台上增加一個具體目錄的操作權限。
2、然後通過這個工具自動編排一個細粒度的 RAM 權限即可;
自助工具:
https://ali.zhangyb.mobi/robot https://ali.zhangyb.mobi/robot