如果 TOS 提供的策略模板无法满足您的实际业务需求,您可以自定义创建桶策略。TOS 支持使用可视化及 JSON 视图的方式自定义桶策略。本文介绍使用可视化视图自定义创建桶策略的操作步骤。
背景信息
操作步骤
登录对象存储控制台。
在左侧导航栏,单击桶列表,在桶列表页面单击目标桶名称。
在左侧导航栏,选择权限管理 > 存储桶授权策略管理,在存储桶授权策略管理页面,单击创建策略。
在创建存储桶授权策略页面底部,选择自定义策略,单击下一步。
在创建存储桶授权策略页面,设置如下界面参数。
参数 | 说明 |
|---|
策略配置方式 | 单击基本配置,选择可视化视图。
如果您需要使用 JSON 视图配置桶策略,详细操作步骤,请参见自定义创建桶策略(JSON视图)。 |
策略名称 | 单击基本配置,设置您创建的策略名称。 |
效力 | 选择策略的作用效果。 - 允许:即 Allow,说明该策略创建的权限为接受请求。
- 拒绝:即 Deny,说明该策略创建的权限为拒绝请求。
|
授权用户 | - 指定账号:仅指定账号具有对应策略的权限,说明如下:
- 当前主账号:用于为当前主账号下的 IAM 用户(子用户)授权。无需输入主账号 ID,单击添加字段,您可以在子用户名称的下拉框中选择子用户名称。
- 其他主账户:用于为其他主账号、其他主账号的 IAM 用户(子用户)授权。需要输入其他主账号 ID 和其他主账号的子用户名称。
- 所有用户:用户(包含匿名用户)可以不通过身份认证即可执行当前桶策略。如果您的效力为允许,可能导致数据存储安全风险,建议您谨慎选择。
|
用户策略 | 设置用户授权方式,参数说明如下: - 包含以上用户:拒绝指定的用户拥有某些权限。
- 排除以上用户:拒绝除了指定的用户以外的其他用户拥有某些权限,即除了指定的用户以外,其他用户都没有权限。
|
资源范围 | - 当前桶:表示策略的范围为当前桶,您可以在动作中配置桶相关动作。
- 桶内对象:表示策略的范围为桶内对象,您可以在动作中配置对象相关动作。
- 所有对象:表示策略的范围为桶内所有对象。
- 指定对象:选择指定对象后,单击添加字段图标,可以设置指定对象字段。
说明 设置指定对象时的填写说明如下: - 支持中文、英文、数字及常见字符。
- 支持将资源路径指定为整个桶、对象或目录。当您给某个目录授权时,请使用通配符 (*)结尾,例如 test/*。
- 不支持以 正斜线(/)或反斜线(\) 开头,不支持使用连续的正斜线(/)。
- 不支持使用 .. 作为目录名称。
|
资源策略 | 设置资源授权方式,参数说明如下: - 包含以上资源:拒绝用户拥有指定资源的权限。
- 排除以上策略:拒绝用户拥有某些指定资源之外的其他资源权限,即除了某些资源以外,其他资源都没有权限。
说明 - 排除以上资源功能仅用于拒绝用户拥有某些资源权限,本身不会授权。如果您想用户拥有指定资源的权限,您还需要创建对应的权限策略。
- 仅效力为拒绝时,才能设置资源策略参数。
|
动作 | 选择需要授权的动作,详细说明,请参见动作说明。 |
操作策略 | 设置动作授权方式,参数说明如下: - 包含以上动作:拒绝用户拥有执行指定动作的权限。
- 排除以上动作:拒绝用户拥有执行指定动作之外的动作的权限,即除了指定的动作以外,其他动作都没有权限。
|
条件 | 单击添加字段图标,设置您所需要的条件及值。关于条件的参数说明,请参见条件说明。 |
设置完成后,单击下一步,确认当前配置的策略信息。
确认信息无误后,单击确定,完成策略的创建。
授权策略创建完成后,您可以在策略管理列表查看已创建的策略。
其他操作
- 编辑授权策略
- 在策略管理列表,选择可视化视图页签,单击目标策略操作列下的编辑,即可使用可视化视图的方式修改策略信息。
- 在策略管理列表,选择 JSON 视图页签,单击编辑,在文本框找到对应的授权策略,即可使用 JSON 视图的方式修改策略信息。
- 删除授权策略
在策略管理列表,选择可视化视图页签,单击目标策略操作列下的删除,在弹出的对话框中单击删除,即可删除相应策略。