You need to enable JavaScript to run this app.
导航
对象存储
  • 文档首页
    • /对象存储/用户指南/权限配置指南/存储桶授权策略管理/自定义创建桶策略(可视化视图)
自定义创建桶策略(可视化视图)
最近更新时间:2025.03.25 17:29:51首次发布时间:2022.03.17 10:33:29
我的收藏
有用
有用
无用
无用

如果 TOS 提供的策略模板无法满足您的实际业务需求,您可以自定义创建桶策略。TOS 支持使用可视化及 JSON 视图的方式自定义桶策略。本文介绍使用可视化视图自定义创建桶策略的操作步骤。

背景信息

操作步骤

  1. 登录对象存储控制台

  2. 在左侧导航栏,单击桶列表,在桶列表页面单击目标桶名称。

  3. 在左侧导航栏,选择权限管理 > 存储桶授权策略管理,在存储桶授权策略管理页面,单击创建策略

  4. 创建存储桶授权策略页面底部,选择自定义策略,单击下一步

  5. 创建存储桶授权策略页面,设置如下界面参数。

    参数

    说明

    策略配置方式

    单击基本配置,选择可视化视图
    如果您需要使用 JSON 视图配置桶策略,详细操作步骤,请参见自定义创建桶策略(JSON视图)

    策略名称

    单击基本配置,设置您创建的策略名称。

    说明

    同一存储桶内,策略名称不允许重名。

    效力

    选择策略的作用效果。

    • 允许:即 Allow,说明该策略创建的权限为接受请求。
    • 拒绝:即 Deny,说明该策略创建的权限为拒绝请求。

    授权用户

    • 指定账号:仅指定账号具有对应策略的权限,说明如下:
      • 当前主账号:用于为当前主账号下的 IAM 用户(子用户)授权。无需输入主账号 ID,单击添加字段,您可以在子用户名称的下拉框中选择子用户名称。
      • 其他主账户:用于为其他主账号、其他主账号的 IAM 用户(子用户)授权。需要输入其他主账号 ID 和其他主账号的子用户名称。
    • 所有用户:用户(包含匿名用户)可以不通过身份认证即可执行当前桶策略。如果您的效力允许,可能导致数据存储安全风险,建议您谨慎选择。

    用户策略

    设置用户授权方式,仅效力拒绝时,才能设置用户策略参数。当效力拒绝时,参数含义如下:

    • 包含以上用户:拒绝指定的用户拥有某些权限。
    • 排除以上用户:除了指定用户外,拒绝其他用户拥有某些权限。

    说明

    排除以上用户功能仅用于拒绝用户的权限,本身不会授权。如果您想指定用户拥有某些权限,您还需要创建对应的权限策略。详细介绍,请参见使用 NotPrincipal 实现除了指定用户以外,拒绝其他用户访问

    资源范围

    • 当前桶:表示策略的范围为当前桶,您可以在动作中配置桶相关动作。
    • 桶内对象:表示策略的范围为桶内对象,您可以在动作中配置对象相关动作。
      • 所有对象:表示策略的范围为桶内所有对象。
      • 指定对象:选择指定对象后,单击添加字段图标,可以设置指定对象字段。

        说明

        设置指定对象时的填写说明如下:

        • 支持中文、英文、数字及常见字符。
        • 支持将资源路径指定为整个桶、对象或目录。当您给某个目录授权时,请使用通配符 (*)结尾,例如 test/*。
        • 不支持以 正斜线(/)或反斜线(\) 开头,不支持使用连续的正斜线(/)。
        • 不支持使用 .. 作为目录名称。

    资源策略

    设置资源授权方式。仅效力拒绝时,才能设置资源策略参数。当效力拒绝时,参数含义如下:

    • 包含以上资源:拒绝用户拥有指定资源的权限。
    • 排除以上策略:除了指定资源外,拒绝用户拥有其余资源的权限。

    说明

    排除以上资源功能仅用于拒绝用户拥有某些资源权限,本身不会授权。如果您想用户拥有指定资源的权限,您还需要创建对应的权限策略。详细介绍,请参见使用 NotResource 实现除了指定资源以外,拒绝用户访问其余资源

    动作

    选择需要授权的动作,详细说明,请参见动作说明

    操作策略

    设置动作授权方式,不同的策略效果,含义不同。

    • 效力拒绝时,操作策略的含义如下:
      • 包含以上动作:拒绝用户拥有执行指定动作的权限。
      • 排除以上动作:除了指定动作外,拒绝用户拥有执行其余动作的权限。

        说明

        排除以上动作功能仅用于拒绝用户拥有执行某些动作的权限,本身不会授权。如果您想用户拥有执行指定动作的权限,您还需要创建对应的权限策略。

    • 效力允许时,操作策略的含义如下:

    条件

    单击添加字段图标,设置您所需要的条件及值。关于条件的参数说明,请参见条件说明

  6. 设置完成后,单击下一步,确认当前配置的策略信息。

  7. 确认信息无误后,单击确定,完成策略的创建。
    授权策略创建完成后,您可以在策略管理列表查看已创建的策略。

其他操作

  • 编辑授权策略
    • 在策略管理列表,选择可视化视图页签,单击目标策略操作列下的编辑,即可使用可视化视图的方式修改策略信息。
    • 在策略管理列表,选择 JSON 视图页签,单击编辑,在文本框找到对应的授权策略,即可使用 JSON 视图的方式修改策略信息。
  • 删除授权策略
    在策略管理列表,选择可视化视图页签,单击目标策略操作列下的删除,在弹出的对话框中单击删除,即可删除相应策略。