You need to enable JavaScript to run this app.
导航
对主账号下的 IAM 用户授权
最近更新时间:2024.03.20 17:12:24首次发布时间:2022.03.17 10:33:30

本文介绍对 IAM 用户授权的典型授权场景及操作说明,您可以根据实际情况根据合适的场景完成授权。

授予 IAM 用户所有资源支持的所有动作权限

如果您希望授予 IAM 用户当前账号下所有 TOS 资源的所有使用权限,您可以使用 IAM 系统策略。
授予 IAM 系统权限的操作步骤,请参见创建用户并授权,授权时选择 TOSFullAccess 系统策略。

授予 IAM 用户创建桶及列举所有桶的权限

如果您希望授予 IAM 用户创建存储桶及列举所有桶的权限,您可以使用 IAM 自定义策略。
授予 IAM 用户自定义策略的操作步骤,请参见策略管理
策略内容示例如下:

{
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "tos:CreateBucket",
        "tos:ListBuckets"
      ],
      "Resource": [
        "trn:tos:::*"
      ]
    }
  ]
}

授予 IAM 用户指定资源的相关权限

如果您希望授予 IAM 用户指定资源的相关操作权限,您可以使用 IAM 自定义策略或桶策略。

  • IAM 策略:授予 IAM 用户自定义策略的操作步骤,请参见策略管理
    策略内容示例如下:
{
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "tos:List*"
      ],
      "Resource": [
        "trn:tos:::test"
      ]
    }
  ]
}
  • 桶策略
    1. 登录对象存储控制台

    2. 单击左侧导航栏的桶列表,在桶列表页面单击目标桶名称。

    3. 选择左侧导航栏中的权限管理 > 存储桶授权策略管理

    4. 存储桶授权策略管理页面的可视化视图页签下,单击创建策略

    5. 创建存储桶授权策略页面,选择文件夹读写模板,单击下一步

    6. 创建存储桶授权策略页面,根据界面提示完善策略信息,本场景下参数说明如下所示。

      类型

      说明

      被授权用户

      选择指定账号,选择需要授权的主账号,说明如下

      • 当前主账号:用于为当前主账号下的 IAM 用户(子用户)授权。无需输入主账号 ID,单击添加字段,您可以在子用户名称的下拉框中选择 IAM 用户名称。
      • 其他主账户:用于为其他主账号的 IAM 用户(子用户)授权。需要输入其他主账号ID,单击添加字段,输入其他主账号的子用户名称。

      资源

      选择指定对象,单击添加字段图标,设置指定资源字段。

      动作

      选择需要授权的通用动作,动作的详细说明,请参见动作说明

    7. 设置完成后,单击下一步,确认当前配置的策略信息。

    8. 确认信息无误后,单击确定,完成策略的创建。
      授权策略创建完成后,您可以在策略管理列表查看已创建的策略。

授予 IAM 用户指定资源指定条件的权限

  1. 登录对象存储控制台

  2. 单击左侧导航栏的桶列表,在桶列表页面单击目标桶名称。

  3. 选择左侧导航栏中的权限管理 > 存储桶授权策略管理

  4. 存储桶授权策略管理页面的可视化视图页签下,单击创建策略

  5. 创建存储桶授权策略页面,选择文件夹读写模板,单击下一步

  6. 创建存储桶授权策略页面,根据界面提示完善策略信息,本场景下参数说明如下所示。

    类型

    说明

    被授权用户

    选择指定账号,选择需要授权的主账号,说明如下

    • 当前主账号:用于为当前主账号下的 IAM 用户(子用户)授权。无需输入主账号 ID,单击添加字段,您可以在子用户名称的下拉框中选择 IAM 用户名称。
    • 其他主账户:用于为其他主账号的 IAM 用户(子用户)授权。需要输入其他主账号ID,单击添加字段,输入其他主账号的 IAM 用户名称。

    资源

    选择指定对象,单击添加字段图标,设置指定资源字段。

    动作

    选择需要授权的通用动作,动作的详细说明,请参见动作说明

    条件

    单击添加字段图标,设置您所需要的条件及值。关于条件的参数说明,请参见条件说明

  7. 设置完成后,单击下一步,确认当前配置的策略信息。

  8. 确认信息无误后,单击确定,完成策略的创建。
    授权策略创建完成后,您可以在策略管理列表查看已创建的策略。