TOS Browser 支持创建授权码，在授权码中可以限定用户访问 TOS 资源的时间和权限，过期即失效。您可将授权码分享给其他用户，该用户无需额外凭证，即可通过授权码登录 TOS Browser，访问 TOS 内资源。本文介绍创建授权码的操作步骤。

权限说明 #

TOS Browser 对授权码可授予的权限进行了限制，若所授的权限超出了允许的范围，超出部分的权限将不会生效。具体可以设置的权限说明如下：

• ListBucket
• ListBucketVersions
• ListBucketMultipartUploads
• HeadBucket
• GetBucketACL
• GetBucketVersioning
• GetBucketLocation
• GetObject
• PutObject
• RestoreObject
• GetObjectAcl
• PutObjectAcl
• PutObjectTagging
• DeleteObjectTagging
• GetObjectTagging
• GetObjectVersion
• ListMultipartUploadParts
• AbortMultipartUpload

注意事项 #

授权码的权限仅限于读写，不支持配置删除或重命名权限。

操作步骤 #

步骤一：创建权限策略 #

1. 登录 IAM 控制台。

2. 在左侧导航栏，单击权限策略。

3. 在权限策略页面，单击新建自定义策略。

4. 在新建自定义策略页面，设置策略名称，单击 JSON编辑器，设置策略参数。

   说明

   权限策略用于定义用户通过授权码登录 TOS Browser 后，对文件或文件夹可执行的操作权限。权限策略中可配置的权限存在限制，若所授的权限超出了允许的范围，超出部分的权限将不会生效。关于可授予权限的详细介绍，请参见权限说明。

   以下以授予用户 bucketname 桶的查看和写入权限为例。

   {
     "Statement": [
         {
             "Effect": "Allow",
             "Action": [
                 "tos:Get*",
                 "tos:ListBucket",
                 "tos:Put*",
                 "tos:HeadBucket"
             ],
             "Resource": [
                 "trn:tos:::bucketname",
                 "trn:tos:::bucketname/*"
             ]
         }
     ]
   }
   

5. 完成配置后，单击提交。

步骤二：创建角色 #

1. 登录 IAM 控制台。
2. 在左侧导航栏，单击角色管理。
3. 在角色管理页面，单击新建角色。
4. 在选择信任身份配置向导中，设置信任身份为账号，身份为当前账号，单击下一步。
5. 在配置角色信息配置向导中，输入角色名、显示名称、描述，单击下一步。
6. 在添加权限配置向导中，选择本文步骤一创建的权限策略，单击提交。

步骤三：创建授权码 #

1. 通过 AK 登录 TOS Browser。

   注意

   只有通过 AK 登录 TOS Browser ，才可以创建授权码，其他登录方式暂不支持该功能。

2. 在桶列表页面，单击目标桶的名称。

3. 在文件列表页面，单击目标文件或文件夹操作列下的 ... ＞ 分享。

4. 在分享对话框，设置以下参数。

   参数	说明
   权限	选择读写。
   角色	选择本文步骤二创建的角色。
   授权码有效期	授权码的有效期，到期后失效，有效范围为 900～43200 秒。
   授权 Policy	默认展示授权码允许授予的权限范围，不可修改。

5. 参数设置完成后，单击创建分享。
   完成创建后，可以在分享对话框查看并复制授权码。

后续操作 #

您可以将授权码分享给其他用户，该用户无需额外凭证，即可通过授权码登录 TOS Browser，并具有 bucketname 桶中对应文件或文件夹的读写权限，具体操作，请参见使用授权码登录 TOS Browser。