对象存储OSS最佳实践之授权子账户管理某个bucket

513次阅读
没有评论

一、环境

有两个 OSS bucket 位于华东 2 地域,分别为 oss-cloud-pro 和 oss-cloud-uat,如下图所示,需要一个子账户以及AccessKey,仅对 oss-cloud-uat 具有完全的管理权限,对 oss-cloud-pro 具有只读权限。

对象存储OSS最佳实践之授权子账户管理某个bucket

二、配置

2.1 开通子账户

进入阿里云访问管理 RAM,新建用户,名为 uatossuer,并授予编程访问

对象存储OSS最佳实践之授权子账户管理某个bucket

对象存储OSS最佳实践之授权子账户管理某个bucket

2.2 编写自定义权限策略

权限管理 – 权限策略管理 – 新建权限策略

策略语句

{
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "oss:*",
            "Resource": [
                "acs:oss:*:*:oss-cloud-uat",
                "acs:oss:*:*:oss-cloud-uat/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "oss:ListObjects",
            "Resource": "acs:oss:*:*:oss-cloud-pro"
        },
        {
            "Effect": "Allow",
            "Action": "oss:GetObject",
            "Resource": "acs:oss:*:*:oss-cloud-pro/*"
        }
    ]
}

 

对象存储OSS最佳实践之授权子账户管理某个bucket

2.3 给用户绑定权限

授权 – 新增授权

对象存储OSS最佳实践之授权子账户管理某个bucket

对象存储OSS最佳实践之授权子账户管理某个bucket

2.4 为子用户 uatossuser 创建 AccessKey

对象存储OSS最佳实践之授权子账户管理某个bucket

三、测试

1、测试 读 权限

 

oss-cloud-pro

./osscmd ls oss://oss-cloud-pro/ --id=LTAIxtSY1cls0CE8 --key=sIE2P8Jwyve45IOC6xjEiDWCl1xygb --host=oss-cn-shanghai.aliyuncs.com

对象存储OSS最佳实践之授权子账户管理某个bucket

 

oss-cloud-uat

./osscmd ls oss://oss-cloud-uat/ --id=LTAIxtSY1cls0CE8 --key=sIE2P8Jwyve45IOC6xjEiDWCl1xygb --host=oss-cn-shanghai.aliyuncs.com

对象存储OSS最佳实践之授权子账户管理某个bucket

2、测试 写 权限

 

oss-cloud-pro

./osscmd put setup.py oss://oss-cloud-pro/setup.py --id=LTAIxtSY1cls0CE8 --key=sIE2P8Jwyve45IOC6xjEiDWCl1xygb --host=oss-cn-shanghai.aliyuncs.com

对象存储OSS最佳实践之授权子账户管理某个bucket

 

oss-cloud-uat

./osscmd put setup.py oss://oss-cloud-uat/setup.py --id=LTAIxtSY1cls0CE8 --key=sIE2P8Jwyve45IOC6xjEiDWCl1xygb --host=oss-cn-shanghai.aliyuncs.com

对象存储OSS最佳实践之授权子账户管理某个bucket

对象存储OSS最佳实践之授权子账户管理某个bucket

Honest1y
版权声明:本站原创文章,由Honest1y2018-12-04发表,共计1157字。
转载提示:除特殊说明外本站文章皆由CC-4.0协议发布,转载请注明出处。
评论(没有评论)
载入中...