检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
权限相关 给用户配置OBS系统权限或桶读写权限后仍然提示拒绝访问,请检查相应权限 已配置OBS权限,仍然无法访问OBS(403 AccessDenied) 桶策略和对象策略之间有什么关系? 如何对OBS桶下面的文件夹进行权限控制? 如何确认我已创建的桶是私有、公共读还是公共读写?
obs:*:*:object:my-bucket/my-object/*表示my-bucket桶下my-object目录下的任意对象。 父主题: 配置IAM权限
单击右下角的“创建”,完成桶策略创建。 权限配置信息可以在桶策略列表查看。 图3 查看桶策略列表权限配置信息 验证权限。 权限授予成功后,部门A、B的用户可以通过OBS Browser+验证权限。 由于部门A、B的用户都只有某个指定桶的访问权限,所以使用这些用户登录OBS控制台会提示没有访问权限,属于正常现象。
OBS支持的条件键和运算符与桶策略的Condition一致,在IAM配置时需要在前面加上“obs:”。详细的Condition介绍请参见Policy格式。 父主题: 配置IAM权限
一张图看懂OBS权限控制
示例2:给用户授予OBS控制台的所有权限 此策略表示用户可以在控制台对OBS进行所有操作。 由于用户登录OBS控制台时,会访问一些其他服务的资源,如CTS审计信息,CDN加速域名,KMS密钥等。因此除了配置和示例1同样的OBS权限外,还需要配置其他服务的访问权限。其中CDN属于全局服务,C
配置指定桶的权限,使其只能在控制台看到授权的桶并且拥有桶的指定权限,无法看到账号下的其他桶,实现桶资源的隔离。 本案例将指定IAM用户test-user只能在控制台看到名为example的桶,并且只拥有上传权限(obs:object:PutObject)、列举桶内权限(obs:b
在左侧导航窗格中,单击“权限管理”>“权限”>“创建自定义策略”。 配置自定义策略参数。 在使用IAM权限之前需明确用户所需要的权限集合,IAM用户只拥有配置的策略所对应的权限。在本案例中APPServer只拥有APPClient文件夹下对象的所有操作权限。 图1 配置自定义策略
桶相关授权项 表1 桶相关授权项列表 权限 对应API接口 授权项(Action) IAM项目(Project) 企业项目(Enterprise Project) 列举全部桶 获取桶列表 obs:bucket:ListAllMyBuckets √ √ 创建桶 创建桶 obs:bucket:CreateBucket
给用户组授权之前,请您了解用户组可以添加的OBS权限,并结合实际需求进行选择,OBS支持的系统权限,请参见:OBS系统权限。如果您需要对除OBS之外的其它服务授权,IAM支持服务的所有权限请参见系统权限。 示例流程 图1 为IAM用户授权OBS资源权限 下面内容以配置IAM用户的对象存储服务“Tenant
如何对OBS桶下面的文件夹进行权限控制? 可以创建自定义桶策略,允许对指定的对象前缀配置需要的权限,即通过对象前缀来控制指定的文件夹。 例如:配置前缀为abc/,则表示所配置权限对文件夹abc生效。 具体配置请参考自定义创建桶策略(可视化视图)。 父主题: 权限相关
对单个IAM用户授予指定对象的读权限 场景介绍 本案例介绍如何为华为云账号下的某个IAM用户授予OBS桶中某个对象或某类对象的读权限。 推荐配置方法 对单个IAM用户授予资源级别权限,推荐使用桶策略。 配置须知 本案例预置的“对象只读”模板允许指定IAM用户对桶内指定对象执行以下权限: GetObject:获取对象内容、获取对象元数据
对单个IAM用户授予桶的指定操作权限 场景介绍 本案例介绍如何为华为云账号下的某个IAM用户授予OBS桶的指定操作权限,此处以授予删除桶的权限为例。 如果需要配置其他指定的权限,在桶策略的动作名称中选择对应动作即可。OBS支持的动作 推荐配置方法 对单个IAM用户授予资源级别权限,推荐使用桶策略。
桶ACL权限 桶的访问权限分为桶ACL权限和桶策略两种。本节介绍桶ACL以及配置方法。 桶ACL权限简介 配置桶ACL权限 父主题: 桶的高级配置
对单个IAM用户授予指定对象的指定操作权限 场景介绍 本案例介绍如何为华为云账号下的某个IAM用户授予OBS桶中指定对象的指定操作权限,此处以授予下载对象的权限为例。 如果需要配置其他指定的权限,在桶策略的动作名称中选择对应动作即可。OBS支持的动作 推荐配置方法 对单个IAM用户授予资源级别权限,推荐使用桶策略。
对其他账号授予桶的指定操作权限 场景介绍 本案例介绍如何为其他华为云账号授予OBS桶的指定操作权限。这里的账号指华为云账号本身,不包含账号下的IAM用户,如果要为IAM用户授权,请参见对其他账号下的IAM用户授予桶和桶内资源的访问权限。 此处以授予设置桶ACL和获取桶ACL的权限为例。如果需要
对所有账号授予指定目录的读权限 场景介绍 当一个文件夹下的对象都需要授权所有账号访问权限时,可以通过桶策略配置授予所有账号访问文件夹内对象的权限。 配置须知 本案例预置的“目录只读”模板允许所有账号(所有互联网用户)对指定目录执行以下权限: GetObject:获取对象内容、获取对象元数据
开启桶日志 开发过程中,您有任何问题可以在github上提交issue,或者在华为云对象存储服务论坛中发帖求助。接口参考文档详细介绍了每个接口的参数和使用方法。 您可以通过ObsClient.SetBucketLogging开启桶日志功能。 日志目标桶与源桶必须在同一个区域(region)。
管理对象访问权限 对象访问权限与桶访问权限类似,也可支持预定义访问策略(参见桶访问权限)或直接设置。 对象访问权限(ACL)可以通过两种方式设置: 上传对象时指定预定义访问策略。 调用OBSSetObjectACLRequest直接设置。 上传对象时指定预定义访问策略 以下代码展示如何在上传对象时指定预定义访问策略:
对象相关授权项 表1 对象相关授权项列表 权限 对应API接口 授权项(Action) IAM项目(Project) 企业项目(Enterprise Project) 可用作于PUT上传对象,POST上传对象,追加写对象,初始化上传段任务,上传段,拷贝段,合并段 PUT上传 POST上传
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
