全部产品
Search

搜索本产品

    Object Storage Service:Berbagi data lintas departemen berdasarkan kebijakan bucket

    文档中心

    Object Storage Service:Berbagi data lintas departemen berdasarkan kebijakan bucket

    更新时间:Mar 21, 2026

    Saat departemen perlu berbagi data yang disimpan di OSS, tantangannya adalah memberikan akses baca kepada penerima tanpa memberikan izin menulis atau menghapus. Kebijakan bucket memungkinkan Anda menetapkan aturan akses detail halus langsung pada bucket—tanpa mengubah kebijakan RAM pengguna yang terlibat. Fitur ini menjadikannya alat yang tepat untuk berbagi data lintas departemen atau lintas akun ketika Anda perlu mengontrol akses tanpa mengubah penugasan izin terpusat.

    Tutorial ini memandu skenario di mana Departemen A menyimpan data dalam sebuah bucket dan memberikan akses unduh saja kepada Departemen B. Seluruh konfigurasi dilakukan oleh administrator Departemen A, sesuai dengan prinsip hak istimewa minimal.

    Catatan: Kebijakan bucket diterapkan langsung pada bucket dan tidak memerlukan perubahan pada kebijakan RAM. Gunakan kebijakan bucket ketika Anda perlu memberikan akses lintas departemen atau lintas akun tanpa mengubah penugasan izin RAM.

    Diagram berikut menunjukkan izin yang diharapkan untuk administrator dan pengguna di kedua departemen pada bucket example-bucket.

    image

    Prasyarat

    Sebelum memulai, pastikan Anda telah memiliki:

    • Pengguna RAM yang dibuat untuk administrator dan pengguna di Departemen A dan Departemen B, semuanya dalam Akun Alibaba Cloud yang sama. Lihat Create a RAM user.

    • UID dari pengguna RAM Departemen B. Lihat View the information about a RAM user.

    • Kebijakan AliyunOSSFullAccess yang ditetapkan ke grup pengguna RAM administrator Departemen A, sehingga administrator dapat membuat bucket dan mengonfigurasi kebijakan bucket. Lihat Grant permissions to a RAM user.

    Langkah 1: Buat bucket

    Masuk ke Konsol OSS sebagai administrator Departemen A.

    1. Di panel navigasi sebelah kiri, klik Buckets. Pada halaman Buckets, klik Create Bucket.

    2. Pada panel Create Bucket, konfigurasikan parameter. Dalam contoh ini, bucket diberi nama example-bucket dan dibuat di wilayah China (Hangzhou). Untuk detail konfigurasi, lihat Create buckets.

    3. Klik Create.

    Langkah 2: Berikan izin unggah kepada Departemen A

    Konfigurasikan kebijakan bucket yang memungkinkan pengguna Departemen A mengunggah data ke example-bucket.

    1. Klik nama bucket yang dibuat pada Langkah 1.

    2. Di panel navigasi sebelah kiri, pilih Permission Control > Bucket Policy.

    3. Pada tab Add in GUI, klik Authorize.

    4. Pada panel Authorize, konfigurasikan parameter berikut dan biarkan pengaturan lainnya tetap default.

      ParameterNilai
      Applied ToPilih Whole Bucket
      Authorized UserPilih RAM User, lalu pilih pengguna RAM Departemen A dari daftar drop-down. Masukkan username atau kata kunci untuk mencari dengan pencocokan kabur.
      Authorized OperationPilih Basic Settings, lalu klik Read/Write. Ini memberikan akses baca dan tulis ke bucket.

    5. Klik OK.

    Pengguna Departemen A kini dapat mengunggah data ke example-bucket.

    Langkah 3: Berikan izin unduh saja kepada Departemen B

    Konfigurasikan kebijakan bucket kedua yang memungkinkan pengguna Departemen B mengunduh data tetapi memblokir operasi menulis dan menghapus.

    1. Klik nama bucket yang dibuat pada Langkah 1.

    2. Di panel navigasi sebelah kiri, pilih Permission Control > Bucket Policy.

    3. Pada tab Add in GUI, klik Authorize.

    4. Pada panel Authorize, konfigurasikan parameter berikut dan biarkan pengaturan lainnya tetap default.

      ParameterNilai
      Applied ToPilih Whole Bucket
      Authorized UserPilih Other Accounts, lalu masukkan UID pengguna RAM Departemen B
      Authorized OperationPilih Basic Settings, lalu klik Read-only (including ListObject). Ini lebih restriktif daripada Read/Write — pengguna yang diotorisasi dapat melihat, menampilkan daftar, dan mengunduh objek, tetapi tidak dapat menulis atau menghapus dari bucket.

    5. Klik OK.

    Pengguna Departemen B kini dapat mengunduh data dari example-bucket tetapi tidak dapat mengunggah atau menghapus objek.

    Langkah 4: Unggah data ke bucket

    Masuk ke Konsol OSS sebagai pengguna RAM Departemen A.

    1. Buka halaman unggah objek di https://oss.console.alibabacloud.com/bucket/hangzhou/example-bucket/object/upload.

    2. Pada halaman Upload, atur Upload To ke Current Directory dan konfigurasikan parameter lainnya. Untuk detailnya, lihat Upload objects.

    3. Pada tab Upload Tasks di panel Task List, pantau progres unggah. Tutup panel setelah unggah selesai.

    Langkah 5: Verifikasi izin

    Masuk ke Konsol OSS sebagai pengguna RAM Departemen B.

    1. Buka halaman Objects di https://oss.console.alibabacloud.com/bucket/hangzhou/example-bucket/object.

    2. Lakukan tiga pemeriksaan berikut:

      Pemeriksaan 1: Izin unduh (diharapkan: berhasil)

      Temukan objek di example-bucket dan pilih more > Download di kolom Actions.

      • Jika objek berhasil diunduh, izin unduh telah dikonfigurasi dengan benar.

      • Jika pengunduhan gagal, izin unduh dikonfigurasi secara salah.

      Pemeriksaan 2: Izin unggah (diharapkan: gagal)

      Ikuti Langkah 4 untuk mengunggah data ke example-bucket.

      • Jika unggah gagal, pembatasan unggah telah dikonfigurasi dengan benar.

      • Jika unggah berhasil, pembatasan unggah dikonfigurasi secara salah.

      Pemeriksaan 3: Izin hapus (diharapkan: gagal)

      Temukan objek di example-bucket dan pilih more > Delete di kolom Actions.

      • Jika penghapusan gagal, pembatasan hapus telah dikonfigurasi dengan benar.

      • Jika penghapusan berhasil, pembatasan hapus dikonfigurasi secara salah.