华为云用户手册

配置须知 按照本案例配置后，可以正常通过API或SDK完成对象下载操作，但如果通过控制台或OBS Browser+登录桶列表，会出现无权限的相关提示信息。 报错原因：通过控制台或者OBS Browser+登录后，加载桶列表时会调用获取桶列表（ListAllMyBuckets）等接口，加载对象列表时会调用列举桶内对象（ListBucket）等接口，其他页面也会调用其他的OBS接口。而授予的只读权限中并没有包含这些操作的权限，所以会提示“拒绝访问，请检查相应权限”，或者“不允许在请求的资源上执行此操作”。 如果希望 IAM 用户能在控制台或OBS Browser+顺利完成对象下载操作，请按照后续操作继续配置IAM自定义策略。

配置须知 本案例预置的“对象只读”模板允许指定IAM用户对桶内指定对象执行以下权限： GetObject：获取对象内容、获取对象元数据 GetObjectVersion：获取指定版本对象内容、获取指定版本对象元数据 GetObjectVersionAcl：获取指定版本对象ACL GetObjectAcl：获取对象ACL RestoreObject：恢复归档存储对象 按照本案例配置后，可以正常通过API或SDK完成读操作（下载指定对象），但如果通过控制台或OBS Browser+登录，会出现无权限的相关提示信息。 报错原因：通过控制台或者OBS Browser+登录后，加载桶列表时会调用获取桶列表（ListAllMyBuckets）等接口，加载对象列表时会调用列举桶内对象（ListBucket）等接口，其他页面也会调用其他的OBS接口。而授予的只读权限中并没有包含这些操作的权限，所以会提示“拒绝访问，请检查相应权限”，或者“不允许在请求的资源上执行此操作”。 如果希望IAM用户能在控制台或OBS Browser+顺利完成相关读操作，请按照后续操作继续配置IAM自定义策略。

配置须知 按照本案例配置后，可以正常通过API或SDK完成桶删除操作，但如果通过控制台或OBS Browser+登录桶列表，会出现无权限的相关提示信息。 报错原因：控制台或OBS Browser+登录后，加载桶列表会调用获取桶列表（ListAllMyBuckets）等接口，删除桶时会先调用列举多版本对象（ListBucketVersions）接口。而授予的权限中并没有包含这些操作的权限，所以会提示“拒绝访问，请检查相应权限”，或者“不允许在请求的资源上执行此操作”。 如果希望IAM用户能在控制台或OBS Browser+顺利完成桶删除操作，桶策略中要额外配置ListBucketVersions权限，同时请按照后续操作继续配置IAM自定义策略授予ListAllMyBuckets权限。

配置须知 本案例预置的“桶读写”模板允许指定IAM用户对整个桶及桶内所有对象执行除以下权限以外的所有权限： DeleteBucket：删除桶 PutBucketPolicy：设置桶策略 PutBucketAcl：设置桶ACL 按照本案例配置后，可以正常通过API或SDK完成读写操作（上传、下载、删除桶内所有对象），但如果通过控制台或OBS Browser+登录，会出现无权限的相关提示信息。报错原因 如果希望IAM用户能在控制台或OBS Browser+顺利完成相关读写操作，请按照后续操作继续配置IAM自定义策略。 配置完成进入桶后仍然会出现无权限相关提示，属于正常现象，因为控制台还调用了其他高级配置的接口，但此时已可以正常完成读写模式中允许的操作。

权限典型场景一览 我们提供了如下典型的权限场景，帮助您顺利完成OBS权限配置。 场景分类的总体思路为： 对谁授权：主要分为单个IAM用户、多个IAM用户或用户群组、其他账号、匿名用户 对什么资源授权：主要分为所有OBS资源（服务级权限）、指定桶、指定对象等 授予什么权限：案例中聚焦一些基础的权限，如读权限、读写权限等，您可以根据实际业务情况扩展 您可以根据上述思路，明确您的业务场景，并在场景树中找到适合您的权限配置案例，对于不同的场景，OBS都有不同的推荐配置方式。 图1 典型权限场景树 下表为各个典型场景的权限配置案例，您可以选择适合您的案例查看。 表1 典型权限场景配置案例 权限场景 场景配置案例 对当前账号下单个IAM用户授权 对单个IAM用户授予创建桶和列举桶的权限 对单个IAM用户授予桶的读写权限 对单个IAM用户授予桶的指定操作权限 对单个IAM用户授予指定对象的读权限 对单个IAM用户授予指定对象的指定操作权限 对当前账号下多个IAM用户或用户群组授权 对IAM用户组授予OBS所有资源的所有操作权限 对IAM用户组授予OBS所有资源的基本操作权限 对IAM用户组授予OBS所有资源的指定操作权限 对IAM用户组授予OBS指定资源的指定操作权限 对其他账号授权 对其他账号授予桶的读写权限 对其他账号授予桶的指定操作权限 对其他账号下的IAM用户授予桶和桶内资源的访问权限 对其他账号授予指定对象的读权限 对其他账号授予指定对象的指定操作权限 对所有账号授权 对所有账号授予桶的公共读权限 对所有账号授予指定目录的读权限 对所有账号授予指定对象的读权限 向所有账号临时分享对象 临时权限 临时授权访问OBS 企业项目 让IAM用户只能看到被授权的桶 限制IP 限制指定的IP地址访问桶 父主题： 典型场景配置案例

通过IAM委托换取临时访问密钥访问OBS IAM委托为 统一身份认证 服务IAM的功能特性，OBS在部分使用场景中（如CDN私有桶回源、跨区域复制），需要使用IAM委托功能，授予其他账号或云服务OBS的访问权限，替委托方管理OBS资源，实现安全高效的代维工作。 如在创建跨区域复制规则时，如果需要同步复制加密对象，需要选择或新建一个委托，授权OBS访问 数据加密 服务。 委托访问OBS，需要先调用IAM接口获取委托的临时访问密钥和securitytoken，然后使用它们访问OBS。委托其他账号需要手动调用接口获取凭证，委托其他云服务系统会自动获取凭证。 关于IAM委托的相关介绍，请参考《统一身份认证服务用户指南》。 父主题： 请求方式介绍

约束与限制 通过OBS控制台分享的文件或文件夹，有效期的范围为1分钟到18小时。如果想要设置更长的有效期，建议使用客户端工具OBS Browser+，OBS Browser+最长支持1年的有效期。如果想要设置永久的权限，请通过桶策略向所有账号授予指定对象的读权限。 仅桶版本号为3.0的桶支持文件和文件夹分享功能。桶版本号可以在桶概览页的“基本信息”中查看。 对于文件分享，归档存储或深度归档存储对象需恢复后才能分享；对于文件夹分享，归档存储或深度归档存储对象需在原桶恢复后才能下载。

分享对象 OBS提供分享功能，将存放在OBS中对象（文件或文件夹）限时分享给所有用户。 文件分享 文件分享强调临时性，所有分享的URL都是临时URL，存在有效期。 临时URL是由文件的访问 域名 和临时鉴权信息组成。示例如下： https://bucketname.obs.cn-north-4.myhuaweicloud.com:443/image.png?AccessKeyId=xxx&Expires=xxx&response-content-disposition=xxx&x-obs-security-token=xxx&Signature=xxx 临时鉴权信息主要包含AccessKeyId、Expires、x-obs-security-token和Signature四个参数。其中AccessKeyId、x-obs-security-token和Signature用于鉴权，Expires定义鉴权的有效期。临时鉴权的方法及各参数的详细解释，请参见《 对象存储服务 API参考》的URL中携带签名章节。此外，临时URL中还包含了response-content-disposition，定义访问对象时是直接下载或者在浏览器中预览，取值由浏览器根据所分享对象的Content-Type解析所得。 当在OBS控制台上单击了对象后的“分享”之后，OBS就会以默认5分钟的有效期获取临时鉴权信息，并生成分享链接，此时链接就已经生效并且开始计算时间了。每调整一次URL有效期，OBS就会重新获取一次鉴权信息以生成新的分享链接，新链接的有效期从调整的时候开始计算。 文件夹分享 文件夹分享强调临时性，存在有效期。临时分享分为两种方式：提取码分享、直接分享。 提取码分享：分享者需要先设置一个6位数的提取码，再创建分享。创建成功后，OBS会自动将文件夹中的所有对象的下载链接汇总到一个静态网站中，并托管到一个公共的OBS桶。所有用户均可使用创建分享时生成的临时URL和提取码，访问这个静态网站，并进行文件下载。 直接分享：分享者输入有效期后直接分享链接给用户。用户通过一个签名即可访问文件夹下所有的对象。

临时访问密钥的权限 IAM用户在调用IAM的获取临时AK/SK和securitytoken接口时，可通过设置policy参数，为临时访问密钥增加临时策略来约束使用者的权限。临时策略的格式与内容与IAM权限保持一致。 如果不设置policy参数，即不使用临时策略，则获取的临时访问密钥具有与IAM用户相同的权限。 如果设置了policy参数，即使用了临时策略，则获取的临时访问密钥的权限在IAM用户原有权限的基础上，进一步约束在设置的临时策略以内。 如下图，“1”代表了IAM用户的原有权限，“2”为设置的临时策略所对应的临时权限，两个权限的交集“3”即为使用者最终的有效权限。 图1 IAM用户权限和临时权限交集 临时访问密钥遵循权限最小化原则，建议在IAM用户原有权限范围内配置临时策略，以免在使用时产生配置了临时策略却没有对应权限的疑惑。如下图所示，使用者最终的有效权限即为设置的临时权限。 图2 临时权限设置在IAM用户权限范围内 临时策略的权限判断同样遵循Deny优先的原则，对于未设置的权限则默认拒绝。 设置临时策略时，因不设置的权限将默认拒绝，所以建议只设置显式的Allow权限即可。

临时访问密钥 OBS可以通过IAM获取临时访问密钥（临时AK，SK和securitytoken）进行临时授权访问。通过使用临时AK，SK和securitytoken，您可以为第三方应用或IAM用户颁发一个自定义时效和权限的访问凭证。 您可以通过调用IAM的获取临时AK/SK和securitytoken接口获取临时AK/SK和securitytoken。 临时AK/SK和securitytoken遵循权限最小化原则，可应用于临时访问OBS等。使用临时AK/SK调用API鉴权时，临时AK/SK和securitytoken必须同时使用，请求头中需要添加“x-obs-security-token”字段。 临时访问密钥相比IAM用户的永久访问密钥的优势主要有两点： 临时访问密钥的有效时间为15min至24h，不必暴露出IAM用户的永久密钥，降低了账号泄露带来的安全风险。 在获取临时访问密钥时，通过传入policy参数设置临时权限来进一步约束使用者的权限范围，方便IAM用户对使用者的权限进一步管理。 具体使用方法，参考用户签名验证。

应用场景 临时访问密钥主要用于授权第三方临时访问OBS服务。例如，部分企业拥有自己的用户管理系统，用户管理系统中的用户包括终端APP用户、企业本地用户等，这部分用户并不具有IAM用户的权限，通过授予其临时访问密钥来访问OBS。 典型场景如下： 某企业拥有大量的终端APP，终端APP都需要拥有访问OBS服务的能力，不同的终端APP可能代表着不同的终端用户，不同的终端用户需要拥有不同的访问权限。该场景便可使用临时访问密钥访问OBS服务。 图3 临时访问密钥使用场景 用户服务器可配置IAM用户的永久访问密钥，由该用户服务器向IAM请求，为不同的终端APP生成不同的临时访问密钥。 IAM用户调用IAM的获取临时AK/SK和securitytoken接口获取临时AK/SK和securitytoken。在调用该接口时，传入policy参数来设置临时策略，例如： { "auth": { "identity": { "methods": [ ... ... ], "policy": { ... ... } } } } 其中policy的语义与格式和IAM权限相同，相关授权项参考权限及授权项说明。 IAM根据传入的policy内容以及有效时间来生成拥有不同权限和不同有效期的临时访问密钥并返回给用户服务器。 用户服务器将临时访问密钥分发给对应权限的终端APP。 终端APP可通过临时访问密钥使用OBS SDK或API访问OBS服务，因临时凭据的有效时间较短，终端APP需及时向用户服务器请求更新临时访问密钥。

通过永久访问密钥访问OBS OBS的REST接口既支持认证请求，也支持匿名请求。匿名请求通常仅用于需要公开访问的场景，例如静态网站托管。除此之外，绝大多数场景是需要经过认证的请求才可以访问成功。经过认证的请求总是需要包含一个签名值，该签名值以请求者的访问密钥（AK/SK）作为加密因子、结合请求体携带的特定信息计算而成。计算签名的过程已经包含在SDK中，使用者只需将访问密钥在SDK初始化阶段设置好即可，无需关心签名计算的具体实现。但是，如果客户端选择通过REST API自行开发程序对接OBS，则需要按照OBS定义的签名算法来计算签名并添加到请求中。 用户可以在“我的凭证”页面创建永久访问密钥（AK/SK）。 Access Key Id（AK）：访问密钥ID。与私有访问密钥关联的唯一标识符；访问密钥ID和私有访问密钥一起使用，对请求进行加密签名。 Secret Access Key（SK）：与访问密钥ID结合使用的私有访问密钥，对请求进行加密签名，可标识发送方，并防止请求被修改。 AK可唯一标识公有云IAM用户，OBS根据AK/SK确认请求者身份，并进行权限检查。 获取永久访问密钥的方法，请参见获取访问密钥（AK/SK）。 父主题： 请求方式介绍

ACL权限 桶ACL的访问权限如表2所示： 表2 桶ACL访问权限 权限 选项 描述 桶访问权限 读取权限 此权限可以获取该桶内对象列表和桶的元数据。 写入权限 此权限可以上传、覆盖和删除该桶内任何对象。 对象权限 对象读权限 此权限可以获取该桶内对象的内容和对象的元数据。 说明： 仅支持给除匿名用户和日志投递用户组之外的用户配置该权限。 ACL访问权限 读取权限 此权限可以获取对应的桶的权限控制列表。 桶的拥有者默认永远具有ACL的读取权限。 写入权限 此权限可以更新对应桶的权限控制列表。 桶的拥有者默认永远具有ACL的写入权限。 对象ACL的访问权限如表3所示： 表3 对象ACL访问权限 权限 选项 描述 对象访问权限 读取权限 此权限可以获取该对象内容和元数据。 ACL访问权限 读取权限 此权限可以获取对应的对象的权限控制列表。 对象的拥有者默认永远具有ACL的读取权限 写入权限 此权限可以更新对象的权限控制列表。 对象的拥有者默认永远具有ACL的写入权限。 每一次对桶/对象的授权操作都将覆盖桶/对象已有的权限列表，而不会对其新增权限。

使用头域设置ACL 权限控制策略 OBS支持在创建桶或上传对象时通过头域设置桶或对象的权限控制策略（使用示例见创桶请求示例，对象上传请求示例），其设置的权限控制策略只能选择预定义的几种策略。其中，x-obs-acl比较特殊，可以设置六种权限，这六种权限对桶或对象的Owner不产生影响，即Owner拥有完全控制的权限。其详细情况如下图所示。 表4 OBS预定义的权限控制策略 预定义的权限控制策略 描述 private 桶或对象的所有者拥有完全控制的权限，其他任何人都没有访问权限。 public-read 设在桶上，所有人可以获取该桶内对象列表、桶内多段任务、桶的元数据。 设在对象上，所有人可以获取该对象内容和元数据。 public-read-write 设在桶上，所有人可以获取该桶内对象列表、桶内多段任务、桶的元数据、上传对象、删除对象、初始化段任务、上传段、合并段、拷贝段、取消多段上传任务。 设在对象上，所有人可以获取该对象内容和元数据。 public-read-delivered 设在桶上，所有人可以获取该桶内对象列表、桶内多段任务、桶的元数据，可以获取该桶内对象的内容和元数据。 不能应用在对象上。 public-read-write-delivered 设在桶上，所有人可以获取该桶内对象列表、桶内多段任务、桶的元数据、上传对象、删除对象、初始化段任务、上传段、合并段、拷贝段、取消多段上传任务，可以获取该桶内对象的内容和元数据。 不能应用在对象上。 bucket-owner-full-control 设在对象上，桶和对象的所有者拥有对象的完全控制权限，其他任何人都没有访问权限。 默认情况下，上传对象至其他用户的桶中，桶拥有者没有对象的控制权限。对象拥有者为桶拥有者添加此权限控制策略后，桶所有者可以完全控制对象。 例如，用户A上传对象x至用户B的桶中，系统默认用户B没有对象x的控制权。当用户A为对象x设置bucket-owner-full-control策略后，用户B就拥有了对象x的控制权。 系统默认权限控制策略为private权限。 在创建桶或上传对象时，可以用来设置权限控制策略的其他头域如下所示： 表5 通过头域设置桶或对象ACL的头域格式 头域 含义 x-obs-grant-read 授权给指定domain下的所有用户有READ权限。 x-obs-grant-write 授权给指定domain下的所有用户有WRITE权限。 x-obs-grant-read-acp 授权给指定domain下的所有用户有READ_ACP权限。 x-obs-grant-write-acp 授权给指定domain下的所有用户有WRITE_ACP权限。 x-obs-grant-full-control 授权给指定domain下的所有用户有FULL_CONTROL权限。 x-obs-grant-read-delivered 授权给指定domain下的所有用户有对桶和桶内对象的READ权限，且对象继承桶权限。 不能应用在对象上。 x-obs-grant-full-control-delivered 授权给指定domain下的所有用户有对桶和桶内对象的FULL_CONTROL权限，且对象继承桶权限。 不能应用在对象上。

桶策略 桶策略是作用于所配置的OBS桶及桶内对象的。OBS桶拥有者通过桶策略可为IAM用户或其他账号授权桶及桶内对象的操作权限。 创建桶和获取桶列表这两个服务级的操作权限，需要通过IAM权限配置。 由于缓存的存在，配置桶策略后，最长需要等待5分钟策略才能生效。 桶策略模板： OBS控制台预置了八种常用典型场景的桶策略模板，用户可以使用模板创建桶策略，快速完成桶策略配置。 选择使用模板创建时，部分模板需要指定被授权用户或资源范围，您也可以在原模板基础上修改被授权用户、资源范围、模板动作以及增加桶策略执行的条件。 表1 桶策略模板 被授权用户 授权资源 模板名称 模板动作 高级设置 所有账号 整个桶（包括桶内对象） 公共读 允许所有账号（所有互联网用户）对整个桶及桶内所有对象执行以下动作： HeadBucket（判断桶是否存在、获取桶元数据） GetBucketLocation（获取桶位置） GetObject（获取对象内容、获取对象元数据） RestoreObject（恢复归档存储对象） GetObjectVersion（获取指定版本对象内容、获取指定版本对象元数据） 不支持排除以上授权操作 公共读写 允许所有账号（所有互联网用户）对整个桶及桶内所有对象执行以下动作： ListBucket（列举桶内对象、获取桶元数据） ListBucketVersions（列举桶内多版本对象） HeadBucket（判断桶是否存在、获取桶元数据） GetBucketLocation（获取桶位置） PutObject（PUT上传，POST上传，上传段，初始化上传段任务，合并段） GetObject（获取对象内容、获取对象元数据） ModifyObjectMetaData（修改对象元数据） ListBucketMultipartUploads（列举多段上传任务） ListMultipartUploadParts（列举已上传段） AbortMultipartUpload（取消多段上传任务） RestoreObject（恢复归档存储对象） GetObjectVersion（获取指定版本对象内容、获取指定版本对象元数据） PutObjectAcl（设置对象ACL） GetObjectVersionAcl（获取指定版本对象ACL） GetObjectAcl（获取对象ACL） 不支持排除以上授权操作 当前账号/其他账号/委托账号 整个桶（包括桶内对象） 桶只读 允许指定账号对整个桶及桶内所有对象执行以下动作： Get*（所有获取操作） List*（所有列举操作） HeadBucket（判断桶是否存在、获取桶元数据） 不支持排除以上授权操作 桶读写 允许指定账号对整个桶及桶内所有对象执行除以下动作以外的所有动作： DeleteBucket（删除桶） PutBucketPolicy（设置桶策略） PutBucketAcl（设置桶ACL） 排除以上授权操作 所有账号/当前账号/其他账号/委托账号 当前桶+指定对象 目录只读 允许所有账号（所有互联网用户）或指定账号对当前桶和桶内指定资源执行以下动作： GetObject（获取对象内容、获取对象元数据） GetObjectVersion（获取指定版本对象内容、获取指定版本对象元数据） GetObjectVersionAcl（获取指定版本对象ACL） GetObjectAcl（获取对象ACL） RestoreObject（恢复归档存储对象） HeadBucket（判断桶是否存在、获取桶元数据） GetBucketLocation（获取桶位置） 说明： 被授权用户选择“所有账号”时，模板动作中不包含ListBucket、ListBucketVersions。 不支持排除以上授权操作 目录读写 允许所有账号（所有互联网用户）或指定账号对当前桶和桶内指定资源执行以下动作： PutObject（PUT上传，POST上传，上传段，初始化上传段任务，合并段） GetObject（获取对象内容、获取对象元数据） GetObjectVersion（获取指定版本对象内容、获取指定版本对象元数据） ModifyObjectMetaData（修改对象元数据） ListBucketMultipartUploads（列举多段上传任务） ListMultipartUploadParts（列举已上传段） AbortMultipartUpload（取消多段上传任务） GetObjectVersionAcl（获取指定版本对象ACL） GetObjectAcl（获取对象ACL） PutObjectAcl（设置对象ACL） RestoreObject（恢复归档存储对象） ListBucket（列举桶内对象、获取桶元数据） ListBucketVersions（列举桶内多版本对象） HeadBucket（判断桶是否存在、获取桶元数据） GetBucketLocation（获取桶位置） 不支持排除以上授权操作 所有账号/当前账号/其他账号/委托账号 指定对象 对象只读 允许所有账号（所有互联网用户）或指定账号对桶内指定资源执行以下动作： GetObject（获取对象内容、获取对象元数据） GetObjectVersion（获取指定版本对象内容、获取指定版本对象元数据） GetObjectVersionAcl（获取指定版本对象ACL） GetObjectAcl（获取对象ACL） RestoreObject（恢复归档存储对象） 不支持排除以上授权操作 对象读写 允许所有账号（所有互联网用户）或指定账号对桶内指定资源执行以下动作： PutObject（PUT上传，POST上传，上传段，初始化上传段任务，合并段） GetObject（获取对象内容、获取对象元数据） GetObjectVersion（获取指定版本对象内容、获取指定版本对象元数据） ModifyObjectMetaData（修改对象元数据） ListMultipartUploadParts（列举已上传段） AbortMultipartUpload（取消多段上传任务） GetObjectVersionAcl GetObjectAcl（获取对象ACL） PutObjectAcl（设置对象ACL） RestoreObject（恢复归档存储对象） 不支持排除以上授权操作 自定义桶策略： 你也可以根据实际业务场景的定制化需求，不使用预置桶策略模板，自定义创建桶策略。自定义桶策略由效力、被授权用户、资源、动作和条件5个桶策略基本元素共同决定。详细请参见OBS权限控制要素。

桶策略样例 示例1：向IAM用户授予指定桶中所有对象的指定操作权限 以下示例策略向账号b4bf1b36d9ca43d984fbcb9491b6fce9（账号ID）下的用户ID为71f3901173514e6988115ea2c26d1999的IAM用户授予PutObject和PutObjectAcl权限。 { "Statement":[ { "Sid":"AddCannedAcl", "Effect":"Allow", "Principal": {"ID": ["domain/b4bf1b36d9ca43d984fbcb9491b6fce9:user/71f3901173514e6988115ea2c26d1999"]}, "Action":["PutObject","PutObjectAcl"], "Resource":["examplebucket/*"] } ] } 示例2：向IAM用户授予指定桶的所有操作权限 以下示例策略向账号b4bf1b36d9ca43d984fbcb9491b6fce9（账号ID）下的用户ID为71f3901173514e6988115ea2c26d1999的IAM用户授予examplebucket的所有操作权限（包含桶操作与对象操作）。 { "Statement":[ { "Sid":"test", "Effect":"Allow", "Principal": {"ID": ["domain/b4bf1b36d9ca43d984fbcb9491b6fce9:user/71f3901173514e6988115ea2c26d1999"]}, "Action":["*"], "Resource":[ "examplebucket/*", "examplebucket" ] } ] } 示例3：向OBS用户授予除删除对象外的所有对象操作权限 以下示例策略向账号b4bf1b36d9ca43d984fbcb9491b6fce9（账号户ID）下的用户ID为71f3901173514e6988115ea2c26d1999的IAM用户授予examplebucket除删除对象外的所有对象操作权限。 { "Statement":[ { "Sid":"test1", "Effect":"Allow", "Principal": {"ID": ["domain/b4bf1b36d9ca43d984fbcb9491b6fce9:user/71f3901173514e6988115ea2c26d1999"]}, "Action":["*"], "Resource":["examplebucket/*"] }, { "Sid":"test2", "Effect":"Deny", "Principal": {"ID": ["domain/b4bf1b36d9ca43d984fbcb9491b6fce9:user/71f3901173514e6988115ea2c26d1999"]}, "Action":["DeleteObject"], "Resource":["examplebucket/*"] } ] } 示例4：向所有账号授予指定对象的只读权限 下面的示例策略向所有账号授予examplebucket桶中exampleobject的GetObject（下载对象）权限。此权限允许任何人读取对象exampleobject的数据。 { "Statement":[ { "Sid":"AddPerm", "Effect":"Allow", "Principal": "*", "Action":["GetObject"], "Resource":["examplebucket/exampleobject"] } ] } 示例5：限制对特定IP地址的访问权限 以下示例向任何用户授予对指定桶中的对象执行任何OBS操作的权限。但是，请求必须来自条件中指定的IP地址范围。此语句的条件确定允许的IP地址范围为192.168.0.*，只有一个例外：192.168.0.1。 Condition块使用IpAddress和NotIpAddress条件以及SourceIp条件键（这是OBS范围的条件键）。另请注意SourceIp值使用RFC 4632中描述的CIDR表示法。 { "Statement": [ { "Sid": "IPAllow", "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "examplebucket/*", "Condition": { "IpAddress": {"SourceIp": "192.168.0.0/24"}, "NotIpAddress": {"SourceIp": "192.168.0.1/32"} } } ] }

对象策略 对象策略即为桶策略中针对对象的策略，桶策略中针对对象的策略是通过配置资源来实现对象匹配的，资源可配置“*”（表示所有对象）或对象前缀（表示对象集）。对象策略则是直接选定对象后，配置到选定的对象资源的策略。 对象策略模板： OBS控制台预置了两种常用典型场景的对象策略模板，用户可以使用模板创建对象策略，快速完成对象策略配置。 选择使用模板创建时，部分模板需要指定被授权用户，您也可以在原模板基础上修改被授权用户、模板动作以及增加对象策略执行的条件。资源范围即为所需配置对象策略的对象，系统自动指定，无需修改。 表2 对象策略模板 被授权用户 授权资源 模板名称 模板动作 高级设置 所有账号/当前账号/其他账号/委托账号 指定对象 对象只读 允许所有账号（所有互联网用户）或指定账号对桶内指定资源执行以下动作： GetObject（获取对象内容、获取对象元数据） GetObjectVersion（获取指定版本对象内容、获取指定版本对象元数据） GetObjectVersionAcl（获取指定版本对象ACL） GetObjectAcl（获取对象ACL） RestoreObject（恢复归档存储对象） 不支持排除以上授权操作 对象读写 允许所有账号（所有互联网用户）或指定账号对桶内指定资源执行以下动作： PutObject（PUT上传，POST上传，上传段，初始化上传段任务，合并段） GetObject（获取对象内容、获取对象元数据） GetObjectVersion（获取指定版本对象内容、获取指定版本对象元数据） ModifyObjectMetaData（修改对象元数据） ListMultipartUploadParts（列举已上传段） AbortMultipartUpload（取消多段上传任务） GetObjectVersionAcl GetObjectAcl（获取对象ACL） PutObjectAcl（设置对象ACL） RestoreObject（恢复归档存储对象） 不支持排除以上授权操作 自定义对象策略： 你也可以根据实际业务场景的定制化需求，不使用预置对象策略模板，自定义创建对象策略。自定义对象策略由效力、被授权用户、资源、动作和条件5个桶策略基本元素共同决定，与桶策略类似，详细请参见桶策略参数说明。其中资源为已选择的对象，系统自动配置。

策略结构&语法 策略结构包括：Version（策略版本号）和Statement（策略权限语句），其中Statement可以有多个，表示不同的授权项。 图1 策略结构 策略语法，示例： { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "obs:bucket:HeadBucket", "obs:bucket:ListBucket", "obs:bucket:GetBucketLocation" ], "Resource": [ "obs:*:*:bucket:*" ], "Condition": { "StringEndWithIfExsits": { "g:UserName": ["specialCharacter"] }, "Bool": { "g:MFAPresent": ["true"] } } } ] } 表3 策略语法参数 参数 说明 Version 标识策略的版本号： 1.0：RBAC策略。RBAC策略是将服务作为一个整体进行授权，授权后，用户可以拥有这个服务的所有权限。 1.1：细粒度策略。相比RBAC策略，细粒度策略基于服务的API接口进行权限拆分，授权更加精细，可以精确到具体操作和具体资源。例如：您可以限制子用户只能访问某一个OBS桶中某一个目录下的对象。 Statement 策略授权语句，描述策略的详细信息，包含Effect（效果）、Action（动作）、Resource（资源）和Condition（条件）。其中Resource和Condition为可选。 Effect（效果） 作用包含两种：Allow（允许）和Deny（拒绝），系统预置策略仅包含允许的授权语句，自定义策略中可以同时包含允许和拒绝的授权语句，当策略中既有允许又有拒绝的授权语句时，遵循Deny优先的原则。 Action（动作） 对资源的具体操作权限，格式为：服务名:资源类型:操作，支持单个或多个操作权限，支持通配符号*，通配符号表示所有。OBS只有两种资源类型：bucket和object。 详细的Action描述请参见桶相关授权项和对象相关授权项。 Resource（资源） 策略所作用的资源，格式为：服务名:region:domainId:资源类型:资源路径，支持通配符号*，通配符号表示所有。在JSON视图中，不带Resource表示对所有资源生效。 Resource支持以下字符：-_0-9a-zA-Z*./\，如果Resource中包含不支持的字符，请采用通配符号*。 OBS是全局级服务，region填“*”；domainId表示资源拥有者的账号ID，建议填写“*”简单地表示所填资源的账号ID。 示例： "obs:*:*:bucket:*": 表示所有的OBS桶。 "obs:*:*:object:my-bucket/my-object/*": 表示桶my-bucket中“my-object”目录下的所有对象。 Condition（条件） 您可以在创建自定义策略时，通过Condition元素来控制策略何时生效。Condition包括条件键和运算符，条件键表示策略语句的Condition元素，分为全局级条件键和服务级条件键。全局级条件键（前缀为g:）适用于所有操作，服务级条件键（前缀为服务缩写，如obs:）仅适用于对应服务的操作。运算符与条件键一起使用，构成完整的条件判断语句。 OBS通过IAM预置了一组条件键，例如，您可以先使用obs:SourceIp条件键检查请求者的IP地址，然后再允许执行操作。 OBS支持的条件键和运算符与桶策略的Condition一致，在IAM配置时需要在前面加上“obs:”。详细的Condition介绍请参见桶策略参数说明。 Condition的条件值仅支持以下字符：-,./ a-zA-Z0-9_@#$%&，如果条件值中包含不支持的字符，请考虑使用模糊匹配的条件运算符，如：StringMatch等。 示例： "StringEndWithIfExists":{"g:UserName":["specialCharacter"]}：表示当用户输入的用户名以"specialCharacter"结尾时该条statement生效。 "StringLike":{"obs:prefix":["private/"]}：表示在列举桶内对象时，需要指定prefix为private/或者包含private/这一子字符串。 Resource（资源）级别细粒度授权特性会逐步在各个区域上线，需要使用该特性时请确保桶所在区域已经支持。 使用Resource（资源）级别细粒度授权特性前，请提交工单到OBS，申请开通Resource（资源）级别细粒度授权特性白名单。

OBS自定义策略样例 示例1：给用户授予OBS的所有权限 此策略表示用户可以对OBS进行任何操作，使用方式包括API、SDK、控制台及工具。 由于用户登录OBS控制台时，会访问一些其他服务的资源，如 CTS 审计信息， CDN加速 域名，KMS密钥等。因此除了配置OBS的权限外，还需要配置其他服务的访问权限。其中CDN属于全局服务，CTS、KMS等属于区域级服务，需要根据您实际使用到的服务和区域分别在全局项目和对应区域项目中配置Tenant Guest权限。 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "obs:*:*" ] } ] } 示例2：给用户授予桶的只读权限（不限定目录） 此策略表示用户可以对桶obs-example下的所有对象进行列举和下载。 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "obs:object:GetObject", "obs:bucket:ListBucket" ], "Resource": [ "obs:*:*:object:obs-example/*", "obs:*:*:bucket:obs-example" ] } ] } 示例3：给用户授予桶的只读权限（限定目录） 此策略表示用户只能下载桶obs-example中“my-project/”目录下的所有对象，其他目录下的对象虽然可以列举，但无法下载。 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "obs:object:GetObject", "obs:bucket:ListBucket" ], "Resource": [ "obs:*:*:object:obs-example/my-project/*", "obs:*:*:bucket:obs-example" ] } ] } 示例4：给用户授予桶的读写权限（限定目录） 此策略表示用户可以对桶obs-example中“my-project”目录下的所有的对象进行列举、下载、上传和删除。 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "obs:object:GetObject", "obs:object:ListMultipartUploadParts", "obs:bucket:ListBucket", "obs:object:DeleteObject", "obs:object:PutObject" ], "Resource": [ "obs:*:*:object:obs-example/my-project/*", "obs:*:*:bucket:obs-example" ] } ] } 示例5：给用户授予桶的所有权限 此策略表示用户可以对桶obs-example进行任何操作。 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "obs:*:*" ], "Resource": [ "obs:*:*:bucket:obs-example", "obs:*:*:object:obs-example/*" ] } ] } 示例6：拒绝用户上传对象 拒绝策略需要同时配合其他策略使用，否则没有实际作用。用户被授予的策略中，一个授权项的作用如果同时存在Allow和Deny，则遵循Deny优先原则。 如果您给用户授予OBS OperateAccess的系统策略，但不希望用户拥有OBS OperateAccess中定义的上传对象的权限，您可以创建一条拒绝上传对象的自定义策略，然后同时将OBS OperateAccess和拒绝策略授予用户，根据Deny优先原则，则用户可以执行除了上传对象外OBS OperateAccess允许的所有操作。拒绝策略示例如下： { "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "obs:object:PutObject" ] } ] } 示例7：给用户授予指定桶的修改桶存储类别权限以及桶内指定对象的删除权限 此策略表示用户可以对桶obs-example进行修改桶存储类别，以及对桶obs-example中“my-object.txt”对象进行删除。 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "obs:bucket:ListAllMyBuckets", "obs:bucket:ListBucket" ] }, { "Effect": "Allow", "Action": [ "obs:object:DeleteObject", "obs:bucket:PutBucketStoragePolicy" ], "Resource": [ "OBS:*:*:object:obs-example/my-object.txt", "OBS:*:*:bucket:obs-example" ] } ] }

IAM权限简介 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略和角色，才能使得用户组中的用户获得策略定义的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 对于OBS，IAM权限作用于OBS所有的桶和对象。如果要授予IAM用户操作OBS资源的权限，则需要向IAM用户所属的用户组授予一个或多个OBS权限。 OBS部署时不区分物理区域，为全局级服务。授权时，在全局级服务中设置权限，访问OBS时，不需要切换区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对OBS服务，管理员能够控制IAM用户仅能对某一个桶资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分，OBS支持的API授权项请参见权限和授权项说明。 由于缓存的存在，对用户、用户组以及企业项目授予OBS相关的角色和策略后，大概需要等待10~15分钟权限才能生效。 IAM中为各云服务预置了系统权限，方便您快速完成基础权限配置，表1为OBS的所有系统权限。 如果系统预置的OBS权限，不满足您的授权要求，可以创建自定义策略。自定义策略中可以添加的授权项（Action）请参考桶相关授权项和对象相关授权项。 表1 OBS系统权限 系统角色/策略名称 描述 类别 依赖关系 Tenant Administrator 拥有该权限的用户拥有除IAM外，其他所有服务的所有执行权限。 系统角色 无 Tenant Guest 拥有该权限的用户拥有除IAM外，其他所有服务的只读权限。 系统角色 无 OBS Administrator 拥有该权限的用户为OBS管理员，可以对账号下的所有OBS资源执行任意操作。 系统角色 无 OBS Buckets Viewer 拥有该权限的用户可以执行列举桶、获取桶基本信息、获取桶元数据的操作。 系统角色 无 OBS ReadOnlyAccess 拥有该权限的用户可以执行列举桶、获取桶基本信息、获取桶元数据、列举对象（不包含多版本）的操作。 说明： 拥有该权限的用户如果在控制台上列举对象失败，可能是因为桶中存在多版本对象。此时需要额外授予该用户列举多版本对象的权限（obs:bucket:ListBucketVersions），才能在控制台正常看到对象列表。 系统策略 无 OBS OperateAccess 拥有该权限的用户可以执行OBS ReadOnlyAccess的所有操作，在此基础上还可以执行上传对象、下载对象、删除对象、获取对象ACL等对象基本操作。 说明： 拥有该权限的用户如果在控制台上列举对象失败，可能是因为桶中存在多版本对象。此时需要额外授予该用户列举多版本对象的权限（obs:bucket:ListBucketVersions），才能在控制台正常看到对象列表。 系统策略 无 下表列出了OBS常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表2 OBS操作与资源权限关系 操作名称 Tenant Administrator Tenant Guest OBS Administrator OBS Buckets Viewer OBS ReadOnlyAccess OBS OperateAccess 列举桶 可以 可以 可以 可以 可以 可以 创建桶 可以 不可以 可以 不可以 不可以 不可以 删除桶 可以 不可以 可以 不可以 不可以 不可以 获取桶基本信息 可以 可以 可以 可以 可以 可以 获取桶监控数据 可以 可以 可以 不可以 不可以 不可以 管理桶访问权限 可以 不可以 可以 不可以 不可以 不可以 管理桶策略 可以 不可以 可以 不可以 不可以 不可以 修改桶存储类别 可以 不可以 可以 不可以 不可以 不可以 列举对象 可以 可以 可以 不可以 可以 可以 列举多版本对象 可以 可以 可以 不可以 不可以 不可以 上传文件 可以 不可以 可以 不可以 不可以 可以 新建文件夹 可以 不可以 可以 不可以 不可以 可以 删除文件 可以 不可以 可以 不可以 不可以 可以 删除文件夹 可以 不可以 可以 不可以 不可以 可以 下载文件 可以 可以 可以 不可以 不可以 可以 删除多版本文件 可以 不可以 可以 不可以 不可以 可以 下载多版本文件 可以 可以 可以 不可以 不可以 可以 修改对象存储类别 可以 不可以 可以 不可以 不可以 不可以 恢复文件 可以 不可以 可以 不可以 不可以 不可以 取消删除文件 可以 不可以 可以 不可以 不可以 可以 删除碎片 可以 不可以 可以 不可以 不可以 可以 管理对象访问权限 可以 不可以 可以 不可以 不可以 不可以 设置对象元数据 可以 不可以 可以 不可以 不可以 不可以 获取对象元数据 可以 可以 可以 不可以 不可以 可以 管理多版本控制 可以 不可以 可以 不可以 不可以 不可以 管理日志记录 可以 不可以 可以 不可以 不可以 不可以 管理事件通知 可以 不可以 可以 不可以 不可以 不可以 管理标签 可以 不可以 可以 不可以 不可以 不可以 管理生命周期规则 可以 不可以 可以 不可以 不可以 不可以 管理静态网站托管 可以 不可以 可以 不可以 不可以 不可以 管理CORS规则 可以 不可以 可以 不可以 不可以 不可以 管理防盗链 可以 不可以 可以 不可以 不可以 不可以 域名管理 可以 不可以 可以 不可以 不可以 不可以 管理跨区域复制 可以 不可以 可以 不可以 不可以 不可以 管理图片处理 可以 不可以 可以 不可以 不可以 不可以 追加写对象 可以 不可以 可以 不可以 不可以 可以 设置对象ACL 可以 不可以 可以 不可以 不可以 不可以 设置指定版本对象ACL 可以 不可以 可以 不可以 不可以 不可以 获取对象ACL 可以 可以 可以 不可以 不可以 可以 获取指定版本对象ACL 可以 可以 可以 不可以 不可以 可以 多段上传 可以 不可以 可以 不可以 不可以 可以 列举已上传段 可以 可以 可以 不可以 不可以 可以 取消多段上传任务 可以 不可以 可以 不可以 不可以 可以

IAM权限、桶策略和ACL如何选择？ 基于三者的优劣势对比，通常情况下推荐您优先使用IAM权限和桶策略： 以下情况使用IAM权限： 要对同账号下的IAM用户授予权限时 要给所有OBS资源或者多个桶配置相同权限时 要配置OBS服务级权限时，如创建桶、列举桶 临时授权访问OBS时，限制临时访问密钥的权限 以下情况使用桶策略： 要进行跨账号授权或对所有用户授权时 无论选择哪种方式，建议尽可能保持统一。随着IAM权限和桶策略数量的增加，权限维护难度将越来越大。

访问控制机制冲突时，如何工作？ OBS权限控制要素中，Effect（效力）包含两种：Allow（允许）和Deny（拒绝），分别表示允许或拒绝执行某操作的权限。 基于最小权限原则，权限控制策略的结果默认为Deny， 显式的Deny始终优先于Allow。例如，IAM权限授权了用户访问对象的权限，但是桶策略拒绝了该用户访问对象的权限，且没有ACL时，该用户不能访问对象。 没有策略授予Allow权限时，默认情况即为Deny权限。当有策略授权Allow权限，且没有其他策略Deny该权限时，Allow的权限才能生效。例如，某个桶已经存在多条Allow权限的桶策略，再新增Allow权限的桶策略，会在原权限的基础上进行叠加，增大用户的权限；如果新增Deny权限的桶策略，则会根据Deny优先原则调整用户的权限，即使Deny策略中定义的动作在其他桶策略中Allow。 图3 访问策略授权过程 同账号场景下，为当前华为云账号下的IAM用户授予OBS桶和桶内资源的访问权限，桶策略、IAM权限和ACL的Allow和Deny作用结果如图4所示。ACL是基于账号级别的读写权限控制，IAM用户在访问所属账号的桶和桶内资源时，不受ACL控制。 图4 同账号场景下桶策略、IAM权限的Allow和Deny作用结果 跨账号场景下，为其他华为云账号及账号下的IAM用户授予OBS桶和桶内资源的访问权限，桶策略、IAM权限和ACL的Allow和Deny作用结果如图5所示。 图5 跨账号场景下桶策略、IAM权限和ACL的Allow和Deny作用结果 当桶策略和IAM策略均为Default Deny，ACL设置为Allow时，由于ACL权限范围限制，最终的作用结果其实为Deny。ACL可以理解为对桶策略的一种补充。

相关概念 账号：用户注册华为云后自动创建，该账号对其所拥有的资源和IAM用户具有完全的访问控制权限。 IAM用户：由管理员在IAM中创建的用户，是云服务的使用者，对应员工、系统或应用程序，具有身份凭证（密码和访问密钥），可以登录管理控制台或者访问API。 匿名用户：未注册华为云的普通访客。 日志投递用户组：用于投递OBS桶及对象的访问日志。由于OBS本身不能在用户的桶中创建或上传任何文件，因此在需要为桶记录访问日志时，只能由用户授予日志投递用户组一定权限后，OBS才能将访问日志写入指定的日志存储桶中。该用户组仅用于OBS内部的日志记录。

OBS权限控制原则 最小权限原则 仅授予IAM用户或账号执行任务所需的最小权限。例如，一个IAM用户仅需执行向指定目录上传、下载对象任务，则无需为其配置整个桶的读写权限。 责任分离原则 同一账号下建议使用不同IAM用户分别管理OBS资源和权限。例如，IAM用户A负责权限分配，而其他IAM用户负责管理OBS资源。 条件限制原则 尽可能地为权限定义更精细化的条件，约束权限生效的场景，强化桶内资源的安全性。例如，约束OBS只接受来自某特定IP地址发起的访问请求。

OBS权限控制要素 OBS的权限控制模型中，以下几个要素共同决定了授权的结果： Principal（被授权用户） Effect（效力） Resource（资源） Action（动作） Condition（条件） 各个要素的详细介绍，请参见桶策略参数说明。 不同权限控制方式中各个要素的支持情况如表2所示。 表2 不同权限控制方式中的OBS权限控制要素 方式 被授权用户 支持的效力 被授权资源 被授权动作 是否支持配置条件 IAM权限 IAM用户 允许 拒绝 OBS所有资源或指定资源 OBS所有操作权限 支持 桶策略 账号 IAM用户 所有用户 允许 拒绝 指定桶及桶内资源 OBS所有操作权限 支持 对象ACL 账号 匿名用户 允许 对象 获取对象内容及元数据 获取指定版本对象内容及元数据 获取对象ACL相关信息 获取指定版本对象ACL相关信息 设置对象ACL 设置指定版本对象ACL 不支持 桶ACL 账号 匿名用户 日志投递用户组 允许 桶 判断桶是否存在 列举桶内对象，获取桶元数据 列举桶内多版本对象 列举多段上传任务 PUT上传，POST上传，上传段，初始化上传段任务，合并段 删除对象 删除特定版本的对象 获取桶ACL的相关信息 设置桶ACL 获取对象的内容 获取对象的元数据 不支持

OBS权限控制模型 OBS提供多种权限控制方式，包括IAM权限、桶策略、对象ACL、桶ACL。各个方式说明及应用场景如表1所示。 图1 OBS权限控制方式 表1 OBS权限控制方式说明和应用场景 方式 说明 应用场景 IAM权限 IAM权限是作用于云资源的，IAM权限定义了允许和拒绝的访问操作，以此实现云资源权限访问控制。管理员创建IAM用户后，需要将用户加入到一个用户组中，IAM可以对这个组授予OBS所需的权限，组内用户自动继承用户组的所有权限。 使用策略控制账号下整个云资源的权限时，使用IAM权限授权。 使用策略控制账号下OBS所有的桶和对象的权限时，使用IAM权限授权。 使用策略控制账号下OBS指定资源的权限时，使用IAM权限授权。 桶策略 桶策略是作用于所配置的OBS桶及桶内对象的。桶拥有者通过桶策略可为IAM用户或其他账号授权桶及桶内对象精确的操作权限，桶ACL和对象ACL是对桶策略的补充（更多场景下是替代）。 允许其他华为云账号访问OBS资源，可以使用桶策略的方式授权对应权限。 当不同的桶对于不同的IAM用户有不同的访问控制需求时，需使用桶策略分别授权IAM用户不同的权限。 对象ACL 基于账号或用户组的对象级访问控制，对象的拥有者可以通过对象ACL向指定账号或用户组授予对象基本的读、写权限。 说明： 默认情况下，创建对象时会同步创建ACL，授权对象拥有者拥有对象的完全控制权限。 对象的拥有者是上传对象的账号，而不是对象所属的桶的拥有者。例如，如果账号B被授予访问账号A的桶的权限，然后账号B上传一个文件到桶中，则账号B是对象的拥有者，而不是账号A。默认情况下，账号A没有该对象的访问权限，也无法读取和修改该对象的ACL。 需要对象级的访问权限控制时，桶策略可以授予对象或对象集访问权限，当授予一个对象集权限后，想对对象集中某一个对象再进行单独授权，通过配置桶策略的方法显然不太实际。此时建议使用对象ACL，使得单个对象的权限控制更加方便。 使用对象链接访问对象时。一般使用对象ACL，将某一个对象通过对象链接开放给匿名用户进行读取操作。 桶ACL 基于账号或用户组的桶级访问控制，桶的拥有者可以通过桶ACL向指定账号或用户组授予桶基本的读、写权限。 说明： 默认情况下，创建桶时会同步创建ACL，授权拥有者对桶的完全控制权限。 桶ACL的权限控制粒度不如IAM权限和桶策略，一般情况下，建议使用IAM权限和桶策略进行权限访问控制。 授予指定账号桶读取权限和桶写入权限，用以共享桶数据或挂载外部桶。比如，账号A授予账号B桶读取权限及桶写入权限后，账号B就可以通过OBS Browser+挂载外部桶、API&SDK等方式访问到该桶。 授予日志投递用户组桶写入权限，用以存储桶访问请求日志。

管理团队空间 系统管理员可以管理所有团队空间，部门管理员只能管理本部门的团队空间。 使用管理员账号登录KooDrive服务业务面。目前仅支持使用华为账号登录KooDrive服务业务面。 单击页面顶部“管理控制台”。 在左侧导航栏选择“空间管理”，在空间管理界面单击“部门空间”页签，界面展示部门空间列表。 参考表1对部门空间进行管理。未分配空间的部门，界面才展示“分配空间”操作。 表1 管理部门空间 操作 说明 分配部门空间 在部门空间列表搜索框中输入部门名称，支持模糊搜索。 在搜索结果列表中单击“操作”列“分配空间”。 在“分配空间”弹框中设置部门空间大小。 单击“仅不可删除”为添加的成员设置初始权限，注意：“仅不可删除”为默认权限设置，不同权限设置会显示不同权限名称。 单击“权限模板”选择已在权限模板中添加的自定义模板或系统预置模板，此外，也可以单击“自定义”来重新设定权限类型。 设置完成后单击“确定”。 注意：部门空间默认展示的空间大小为配置云空间实例时的团队空间默认大小，管理员可根据下方剩余企业空间大小的提示设置部门空间大小。分配的部门空间大小不能为0GB。管理员可勾选部门名称前的复选框（仅支持勾选一个部门分配空间），单击列表上方“分配空间”进行操作。 修改部门空间 在部门空间列表搜索框中输入部门名称，支持模糊搜索。 在搜索结果列表中单击“操作”列“修改容量”。 在“修改空间容量”弹框中重新设置部门空间容量。 设置完成后单击“确定”。 注意：管理员可根据下方剩余企业空间大小的提示重新设置团队空间大小。管理员可勾选部门名称前的复选框（仅支持勾选一个部门修改空间），单击列表上方“修改容量”进行操作。设置的部门空间大小不能小于当前部门空间已使用容量。 权限管理 在部门空间列表搜索框中输入部门名称，支持模糊搜索。 在搜索结果列表中单击“操作”列“权限管理”。 在“权限管理”弹框中可以通过选择权限类型或者输入用户名称快速搜索用户，勾选一个或多个用户，单击“修改权限”按钮。对于单一用户可以单击个人用户的编辑按钮。 单击“权限模板”选择已在权限模板中添加的自定义模板或系统预置模板，此外，也可以单击“自定义”来重新设定权限类型。 完成设置后，单击“确定”。 如果想了解关于权限类型的信息，可以单击界面右上角的“权限说明”查看详情。 禁用部门空间 在部门空间列表搜索框中输入待禁用的部门名称，支持模糊搜索。 在搜索结果列表中单击“操作”列“禁用空间”。 在“禁用空间”提示框中，了解禁用空间的影响后，如果确认要禁用空间，单击“确定”。 注意：禁用部门空间后，部门空间内的资源将暂时冻结，不可访问。管理员可勾选部门名称前的复选框，可选择多个，单击上方“禁用空间”批量禁用部门空间。 启用部门空间 在部门空间列表搜索框中输入待启用的部门名称，支持模糊搜索。 在搜索结果列表中单击“操作”列“启用空间”即可启用部门空间。管理员也可勾选部门名称前的复选框，可选择多个，单击上方“启用空间”批量启用部门空间。 删除部门空间 在部门空间列表搜索框中输入待删除的部门名称，支持模糊搜索。 在搜索结果列表单击中“操作”列“删除空间”。 在“删除空间”弹框中，了解删除空间的影响后。 如果已勾选的空间有资源文件时，在弹框中输入“确定删除”并勾选“我已知悉，强制删除”，然后单击“确定”。 如果已勾选的空间还未分配空间容量或已分配空间容量但空间无文件，单击“确定”。管理员也可勾选部门名称前的复选框，可选择多个，单击上方“删除空间”批量删除部门空间。注意 ：删除空间后将会删除该空间及其名下全部资源，请谨慎操作。建议迁移资源后再进行删除操作。

管理个人空间 系统管理员可以管理所有用户的个人空间，部门管理员只能管理本部门用户的个人空间。 使用管理员账号登录KooDrive服务业务面。目前仅支持使用华为账号登录KooDrive服务业务面。 单击页面顶部“管理控制台”。 在左侧导航栏选择“空间管理”，在空间管理界面单击“个人空间”页签，界面展示个人空间列表。 参考表2对个人空间进行管理。 表2 管理个人空间 操作 说明 分配个人空间 在个人空间列表上方下拉列表框中选择用户所属部门，在搜索框中输入用户名称，支持模糊搜索。 在搜索结果列表中单击“操作”列“分配空间”。 在“分配空间”弹框中设置个人空间大小，设置完成后单击“确定”。注意：分配的个人空间大小不能为0GB。 未分配空间的用户，界面才展示“分配空间”操作。个人空间默认展示的空间大小为配置云空间时的个人空间默认大小，管理员可根据下方剩余企业空间大小的提示设置个人空间大小。管理员也可勾选用户名称前的复选框（仅支持勾选一个用户分配空间），单击列表上方“分配空间”进行操作。 修改个人空间 在个人空间列表上方下拉列表框中选择用户所属部门，在搜索框中输入用户名称，支持模糊搜索。 在搜索结果列表中单击“操作”列“修改容量”。 在“修改空间容量”弹框中重新设置用户空间大小，设置完成后单击“确定”。注意：设置的个人空间大小不能小于当前个人空间已使用容量。 管理员可根据下方剩余空间大小的提示重新设置用户空间大小。管理员也可勾选用户名称前的复选框（仅支持勾选一个用户修改空间），单击列表上方“修改容量”进行修改操作。 禁用个人空间 在个人空间列表上方下拉列表框中选择用户所属部门，在搜索框中输入用户名称，支持模糊搜索。 在搜索结果列表中单击“操作”列“禁用空间”。 在“禁用空间”提示框中，了解禁用空间的影响后，如果确认要禁用空间，单击“确定”。 管理员也可勾选用户名称前的复选框，可选择多个，单击上方“禁用空间”批量禁用个人空间。 启用个人空间 在个人空间列表上方下拉列表框中选择用户所属部门，在搜索框中输入用户名称，支持模糊搜索。 在搜索结果列表中单击“操作”列“启用空间”即可启用个人空间。 管理员也可勾选用户名称前的复选框，可选择多个，单击上方“启用空间”批量启用个人空间。 删除个人空间 在个人空间列表上方下拉列表框中选择用户所属部门，在搜索框中输入用户名称，支持模糊搜索。 在搜索结果列表单击中“操作”列“删除空间”。 在“删除空间”弹框中，了解删除空间的影响后。 如果已勾选的空间有资源文件时，在弹框中输入“确定删除”并勾选“我已知悉，强制删除”，然后单击“确定”。 如果已勾选的空间还未分配空间容量或已分配空间容量但空间无文件，单击“确定”。 管理员也可勾选用户名称前的复选框，可选择多个，单击上方“删除空间”批量删除个人空间。 删除空间后将会删除该空间及其名下全部资源，请谨慎操作。建议迁移资源后再进行删除操作。

云硬盘扩容问题 云硬盘支持缩容或临时扩容吗 扩容云硬盘和创建新的云硬盘有什么区别 云硬盘扩容后数据是否会丢失 扩容后的云硬盘能否使用扩容前的备份或快照回滚数据 云硬盘扩容后是否需要重启云服务器 云硬盘扩容时需要先卸载吗 扩容后的云硬盘容量大于2TiB该如何处理 怎样为云硬盘的新增容量创建新分区（新增/dev/vdb2分区或E盘） 怎样将云硬盘新增容量添加到原有分区内（扩大/dev/vdb1分区或者D盘容量） 为什么扩容后云服务器内云硬盘容量没有变化 云硬盘扩容失败怎么办？ Linux系统扩容数据盘时，如何扩展未分区磁盘文件系统 如何扩展快速发放裸金属服务器的根分区大小

云硬盘挂载问题 为什么登录到云服务器后看不到已挂载的数据盘 云硬盘不支持挂载至云服务器怎么办 一块云硬盘可以挂载到多台云服务器上吗 云硬盘可以挂载至不同可用区的云服务器吗 怎样为云服务器增加数据盘（例如D盘或者dev/vdb1） 包年/包月云硬盘可以挂载给其他云服务器吗 不同类型的磁盘可以挂载在同一个云服务器上吗 系统盘和数据盘之间可以随意转换吗 Linux系统的云硬盘挂载至Windows系统后需如何处理 随包周期云服务器购买的云硬盘，可以挂载至其它包周期云服务器吗