授权子账号访问CSP
概述
对于对象存储资源,不同企业之间或同企业多团队之间,需要对不同的团队或人员配置不同的访问权限。您可通过 CAM(访问管理,以下简称 CAM)对存储桶或对象设置不同的操作权限,使得不同团队或人员能够相互协作。
关键概念
- 主账号:用户申请云账号时创建的,拥有资源的完全访问权限。
- 子账号(用户):由主账号创建,拥有登录云控制台的权限,但默认不拥有资源,必须由主账号授权。
- 用户组:多个相同职能的用户的集合,可为用户组关联策略以分配权限。
操作步骤
步骤1:创建子账号
- 登录 CAM 控制台。
- 选择 【用户管理】>【用户】。
- 单击 【新建用户】,选择 【子用户】。
- 填写用户信息,如用户名、邮箱、访问类型等。
- 单击 【下一步:设定权限】,选择权限设定方式。
- 完成权限设定后,单击 【下一步:完成】。
步骤2:对子账号授予权限
- 在 CAM 控制台,选择 【策略管理】>【新建自定义策略】>【按策略语法创建】。
- 选择策略模板,输入策略名称和内容。
- 创建完成后,将策略关联到子账号。
步骤3:子账号访问 COS 资源
- 主账号登录 CAM 控制台。
- 选择 【用户管理】>【用户】,进入子账号信息详情页。
- 在左侧导航树中,选择 【云API 密钥】,并单击 【新建密钥】 为子账号创建 SecretId 和 SecretKey。
策略示例
为子账户配置读写权限
{
"version": "2.0",
"statement": [
{
"action": [
"name/cos:*"
],
"resource": "*",
"effect": "allow"
},
{
"effect": "allow",
"action": "monitor:*",
"resource": "*"
}
]
}
为子帐户配置只读权限
{
"version": "2.0",
"statement": [
{
"action": [
"name/cos:List*",
"name/cos:Get*",
"name/cos:Head*",
"name/cos:OptionsObject"
],
"resource": "*",
"effect": "allow"
},
{
"effect": "allow",
"action": "monitor:*",
"resource": "*"
}
]
}
为子账户配置某 IP 段的读写权限
{
"version": "2.0",
"statement": [
{
"action": [
"cos:*"
],
"resource": "*",
"effect": "allow",
"condition": {
"ip_equal": {
"qcs:ip": ["192.168.1.0/24", "192.168.2.0/24"]
}
}
}
]
}