作者:張醫博
功能描述
- 用戶想針對子賬號授權訪問某個 bucket,將只讀、讀寫、完全控制分開授權;
- 用戶想針對跨賬號進行授權。
- 用戶想針對匿名用戶進行管理。
- 在授權基礎上增加條件限制,從 IP 緯度限制用戶的訪問;
bucket policy 和 RAM policy 區別
- 二者同時配置的情況下,可以並行存在,但如果策略出現衝突,將以範圍粒度更大的優先。
- RAM policy 更適合開發者通過 AccesskeyID ,AccesskeySecret 進行調用。bucket policy 用在控制檯登錄或者匿名用戶訪問的場景較多
- RAM policy 定義的 Action(API) 細化的場景更多,bucket policy 粒度較粗。
授權場景
先了解完全控制和讀寫有什麼區別,完全控制是說對 bucket 屬性本身進行控制,包括 bucket 的配置權限。讀寫只是能上傳、下載 OSS 的文件;
bucket 是私有的,只開放某個目錄公開訪問
bucket 是私有的,只想某個 IP 匿名能訪問
只想讓子賬號擁有某個目錄的管理權限,其他目錄要寫具體權限
1、先在 OSS 控制檯上增加一個具體目錄的操作權限。
2、然後通過這個工具自動編排一個細粒度的 RAM 權限即可;
自助工具:https://ali.zhangyb.mobi/robot
