一、桶策略和对象策略
1、桶策略是作用于所配置的OBS桶及桶内对象的。OBS桶拥有者通过桶策略可为 IAM 用户或其他账号授权桶及桶内对象的操作权限。
2、标准桶策略:标准桶策略提供三种策略供用户直接设置。
(1)私有:除桶ACL授权外的其他用户无桶的访问权限。
(2)公共读:任何用户都可以对桶内对象进行读操作。
(3)公共读写:任何用户都可以对桶内对象进行读/写/删除操作。
3、桶策略的应用场景:
(1)不用IAM权限控制访问权限的情况下,允许其他账号访问OBS资源,可以使用桶策略的方式授权其他账号对应的权限。
(2)当不同的桶对于不同的IAM用户有不同的访问控制需求时,需使用桶策略分别授权IAM用户不同的权限。
(3)桶拥有者允许其他账号访问自己的桶时,可使用桶策略授权其他账号对应的权限。
二、桶ACL和对象ACL
1、访问控制列表(Access Control List,ACL)是一个指定被授权者和所授予权限的授权列表。OBS桶和对象的ACL是基于账号的访问控制,默认情况下,创建桶和对象时会同步创建ACL,授权拥有者对桶和对象资源的完全控制权限。
2、OBS ACL是基于账号级别的读写权限控制,权限控制细粒度不如桶策略和IAM权限。一般情况下,建议使用IAM权限和桶策略进行访问控制。
3、在以下场景,建议您使用桶ACL:
授予日志投递用户组桶写入权限,用以存储桶访问请求日志。
授予指定账号桶读取权限和桶写入权限,用以共享桶数据或挂载外部桶。比如,账号A授予账号B桶读取权限及桶写入权限后,账号B就可以通过OBS Browser+挂载外部桶、API&SDK等方式访问到该桶。
4、在以下场景,建议您使用对象ACL:
需要对象级的访问权限控制时。桶策略可以授予对象或对象集访问权限,当授予一个对象集权限后,想对对象集中某一个对象再进行单独授权,通过配置桶策略的方法显然不太实际。此时建议使用对象ACL,使得单个对象的权限控制更加方便。
使用对象链接访问对象时。一般使用对象ACL,将某一个对象通过对象链接开放给匿名用户进行读取操作。