新手入门
最佳实践
API中心
自助服务
<p class="shortdesc"></p>
<p class="p">如果您希望让不同的角色,访问不同的资源Bucket,可以通过如下方式实现。
首先需要在主账户下创建不同的子账户,然后创建多个用于资源隔离的Bucket,例如,按照业务类型、子公司区分存储空间。最后给某个子账户授权对应的Bucket的权限。</p>
<p class="p">企业日常有大量工作文件需要存档,但并不希望花费大量的人力、物力在存储资源上。因此该企业可以开通OBS服务,用于存储日常工作文件,并为不同职能部门的员工设置不同的访问权限,以此达到不同部门人员访问公司数据的权限隔离。</p>
<p class="p">例如,一家企业的管理员拥有一个RAM主账号,并且使用RAM主账号创建了3个Bucket:Bucket1、Bucket2、Bucket3,分别存放A、B、C三个业务部门的文件和数据。为了便于不同部门的资源管理员查看或操作这些文件,在主账号下创建了3个子账号:子账号A、子账号B、子账号C,并且授予子账号A访问Bucket1,子账号B访问Bucket2,子账号C访问Bucket3。这样,被授权的资源管理员就可以使用子账号登录OBS控制台,并且只能查看或操作相关权限的文件和数据了。</p>
<p class="p">这里的授权策略需要通过RAM自定义策略进行更细粒度的用户授权。</p>
<p class="p">例如,如果希望某个子帐户A访问Bucket1中的文件(访问的含义是:可以对Bucket1进行管理和对Bucket1里的文件进行读写删除等操作),那么先创建的自定义策略,然后把策略授权给子账户A,自定义策略如下:</p>
<pre class="pre codeblock"><code>{
"Statement":[
{
"Resource":[
"pcs:obs:*:<Tenant-id>:bucket/<Bucket1-id>"
],
"Action":[
"obs:*",
"payment:ListQueryBalanceForOrder",
"payment:ListAvailableCoupons",
"payment:ListActivate"
],
"Effect":"Allow"
}
],
</code></pre>
页面更新不及时
