导航
对象存储
搜索目录或文档标题搜索目录或文档标题
产品动态
产品公告
产品计费
快速入门
用户指南
存储桶管理
基础设置
文件管理
监控与告警
权限配置指南
IAM 策略管理
典型配置场景
IAM 子用户授权
使用工具及 SDK 的授权说明
接入点
数据处理
分层命名空间(HNS)
工具指南
tosutil
常用命令
辅助命令
TOS Browser
FSX
API 参考
签名机制
存储桶
桶基础操作
数据处理
对象
基础操作
分片上传
SDK 参考
Java
存储桶接口
对象接口
下载对象
分层命名空间
数据处理
日志配置
Go
存储桶接口
对象接口
数据处理
日志配置
C++
存储桶接口
对象接口
Python
存储桶接口
对象接口
上传对象
数据处理
Node.js
存储桶接口
对象接口
上传对象
数据处理
Browser.js
上传对象
.NET
对象接口
PHP
对象接口
异常处理
iOS
对象接口
Android
对象接口
Harmony
存储桶接口
对象接口
上传对象
错误码
01-SERVICE_ERROR
02-AUTH
03-ACCESS_CONTROL
04-QOS
05-REQUEST
06-BUCKET
07-LIFECYCLE
08-ACL
09-CORS
10-POLICY
11-MIRROR
12-REPLICATION
13-WEBSITE
14-NOTIFICATION
15-ENCRYPT
16-CUSTOMDOMAIN
17-OBJECT
18-TAG
19-MULTIPART
20-STORAGE_CLASS
21-CALLBACK
22-DATA_PROCESS
23-BATCH
24-STORAGE_LENS
25-INVENTORY
26-DIRECTORY_BUCKET
32-WORM
常见问题
最佳实践
AIGC-豆包大模型最佳实践
校验数据一致性
- 文档首页 /对象存储/用户指南/权限配置指南/IAM 策略管理/典型 IAM 策略示例
典型 IAM 策略示例
最近更新时间:2023.12.07 20:39:36首次发布时间:2022.03.17 10:33:29
复制全文
我的收藏有用
有用
无用
无用
文档反馈
问问助手本文介绍常见的 IAM 策略内容,方便您直接选择使用。
授权策略
授予 IAM 用户某个存储桶 test 的所有权限
{ "Statement": [ { "Effect": "Allow", "Action": [ "tos:*" ], "Resource": [ "trn:tos:::test", "trn:tos:::test/*" ] } ] }
授予 IAM 用户某个存储桶 test 的只读权限
{ "Statement": [ { "Effect": "Allow", "Action": [ "tos:Get*" ], "Resource": [ "trn:tos:::test", "trn:tos:::test/*" ] } ] }
授予 IAM 用户创建桶的权限
{ "Statement": [ { "Effect": "Allow", "Action": [ "tos:CreateBucket" ], "Resource": [ "trn:tos:::*" ] } ] }
授予 IAM 用户列举桶的权限
{ "Statement": [ { "Effect": "Allow", "Action": [ "tos:ListBuckets" ], "Resource": [ "trn:tos:::*" ] } ] }
授予 IAM 用户列举存储桶 test 内 abc 目录及其子目录下对象的权限
{ "Statement": [ { "Effect": "Allow", "Action": [ "tos:ListBucket" ], "Resource": [ "trn:tos:::test" ], "Condition": { "StringLike": { "tos:prefix": [ "abc/*" ] } } } ] }
拒绝策略
注意
用户被授予的策略中,一个授权项的作用如果同时存在 Allow 和 Deny,则遵循 Deny 优先原则。
拒绝 IAM 用户在存储桶 test 中上传对象的权限
{ "Statement": [ { "Effect": "Deny", "Action": [ "tos:PutObject" ], "Resource": [ "trn:tos:::test/*" ] } ] }
拒绝 IAM 用户删除存储桶 test 的权限
{ "Statement": [ { "Effect": "Deny", "Action": [ "tos:DeleteBucket" ], "Resource": [ "trn:tos:::test" ] } ] }
拒绝IAM用户删除存储桶test内,前缀为abc对象的权限
{ "Statement": [ { "Effect": "Deny", "Action": [ "tos:DeleteObject" ], "Resource": [ "trn:tos:::test/abc*" ] } ] }