You need to enable JavaScript to run this app.
导航

自定义创建桶策略(可视化视图)

最近更新时间2023.12.19 14:06:01

首次发布时间2022.03.17 10:33:29

如果 TOS 提供的策略模板无法满足您的实际业务需求,您可以自定义创建桶策略。TOS 支持使用可视化及 JSON 视图的方式自定义桶策略。本文介绍使用可视化视图自定义创建桶策略的操作步骤。

背景信息

操作步骤

  1. 登录对象存储控制台
  2. 在左侧导航栏,单击桶列表,在桶列表页面单击目标桶名称。
  3. 在左侧导航栏,选择权限管理 > 存储桶授权策略管理,在存储桶授权策略管理页面,单击创建策略
  4. 创建存储桶授权策略页面底部,选择自定义策略,单击下一步
  5. 创建存储桶授权策略页面,设置如下界面参数。

参数

说明

策略配置方式

单击基本配置,选择可视化视图
如果您需要使用 JSON 视图配置桶策略,详细操作步骤,请参见自定义创建桶策略(JSON视图)

策略名称

单击基本配置,设置您创建的策略名称。

说明

同一存储桶内,策略名称不允许重名。

效力

选择策略的作用效果。

  • 允许:即 Allow,说明该策略创建的权限为接受请求。
  • 拒绝:即 Deny,说明该策略创建的权限为拒绝请求。

授权用户

  • 指定账号:仅指定账号具有对应策略的权限,说明如下:
    • 当前主账号:用于为当前主账号下的 IAM 用户(子用户)授权。无需输入主账号 ID,单击添加字段,您可以在子用户名称的下拉框中选择子用户名称。
    • 其他主账户:用于为其他主账号、其他主账号的 IAM 用户(子用户)授权。需要输入其他主账号 ID 和其他主账号的子用户名称。
  • 所有用户:用户(包含匿名用户)可以不通过身份认证即可执行当前桶策略。如果您的效力允许,可能导致数据存储安全风险,建议您谨慎选择。

用户策略

设置用户授权方式,参数说明如下:

  • 包含以上用户:拒绝指定的用户拥有某些权限。
  • 排除以上用户:拒绝除了指定的用户以外的其他用户拥有某些权限,即除了指定的用户以外,其他用户都没有权限。

说明

  • 排除以上用户功能仅用于拒绝用户的权限,本身不会授权。如果您想指定用户拥有某些权限,您还需要创建对应的权限策略。详细介绍,请参见使用 NotPrincipal 和 NotResource 拒绝访问
  • 效力拒绝时,才能设置用户策略

资源范围

  • 当前桶:表示策略的范围为当前桶,您可以在动作中配置桶相关动作。
  • 桶内对象:表示策略的范围为桶内对象,您可以在动作中配置对象相关动作。
    • 所有对象:表示策略的范围为桶内所有对象。
    • 指定对象:选择指定对象后,单击添加字段图标,可以设置指定对象字段。

资源策略

设置资源授权方式,参数说明如下:

  • 包含以上资源:拒绝用户拥有指定资源的权限。
  • 排除以上策略:拒绝用户拥有某些指定资源之外的其他资源权限,即除了某些资源以外,其他资源都没有权限。

说明

  • 排除以上资源功能仅用于拒绝用户拥有某些资源权限,本身不会授权。如果您想用户拥有指定资源的权限,您还需要创建对应的权限策略。
  • 效力拒绝时,才能设置资源策略参数。

动作

选择需要授权的动作,详细说明,请参见动作说明

操作策略

设置动作授权方式,参数说明如下:

  • 包含以上动作:拒绝用户拥有执行指定动作的权限。
  • 排除以上动作:拒绝用户拥有执行指定动作之外的动作的权限,即除了指定的动作以外,其他动作都没有权限。

说明

  • 排除以上动作功能仅用于拒绝用户拥有执行某些动作的权限,本身不会授权。如果您想用户拥有执行指定动作的权限,您还需要创建对应的权限策略。详细介绍,请参见使用 NotPrincipal 和 NotResource 拒绝访问
  • 效力拒绝时,才能设置操作策略参数。

条件

单击添加字段图标,设置您所需要的条件及值。关于条件的参数说明,请参见条件说明

  1. 设置完成后,单击下一步,确认当前配置的策略信息。
  2. 确认信息无误后,单击确定,完成策略的创建。
    授权策略创建完成后,您可以在策略管理列表查看已创建的策略。

其他操作

  • 编辑授权策略
    • 在策略管理列表,选择可视化视图页签,单击目标策略操作列下的编辑,即可使用可视化视图的方式修改策略信息。
    • 在策略管理列表,选择 JSON 视图页签,单击编辑,在文本框找到对应的授权策略,即可使用 JSON 视图的方式修改策略信息。
  • 删除授权策略
    在策略管理列表,选择可视化视图页签,单击目标策略操作列下的删除,在弹出的对话框中单击删除,即可删除相应策略。