企業不同部門或專案間需要共用資料時,通過Bucket Policy配置權限原則,允許其他部門使用者下載共用資料,同時禁止寫入和刪除操作,有效防止共用資料被誤刪或篡改。
方案概覽
部門A將儲存在Bucket中的資料共用給部門B員工,實現差異化許可權管理:部門A員工對Bucket資料具有完整讀寫權限,部門B員工僅可讀取資料,無法進行修改或刪除操作。
方案實現需要配置以下Bucket Policy:
本部門員工:授予完整讀寫權限。
其他部門員工:授予唯讀許可權。
授予本部門讀寫權限
為本部門員工配置完整的讀寫權限,確保部門內部使用者可以正常管理Bucket中的資料。
前往Bucket列表,單擊目標Bucket。
在左側功能表列單擊。
選擇按圖形策略添加,單擊新增授權,按以下說明配置權限原則。
配置項
說明
授權資源
選擇整個Bucket,也可按需選擇指定資源。
授權使用者
選擇子帳號,從下拉式清單中選擇本部門員工子帳號。
如果需要授權的使用者較多,也可選擇其他帳號,按說明輸入帳號列表。
授權操作
選擇簡單設定中的讀/寫操作。
單擊確定,完成本部門許可權配置。
授予其他部門唯讀許可權
為其他部門員工配置唯讀許可權,允許訪問和下載共用資料,同時限制修改和刪除操作。
前往Bucket列表,單擊目標Bucket。
在左側功能表列單擊。
選擇按圖形策略添加,單擊新增授權,按以下說明配置唯讀許可權。
配置項
說明
授權資源
選擇整個Bucket,也可按需選擇指定資源。
授權使用者
選擇子帳號,從下拉式清單中選擇其他部門員工子帳號。
如果需要授權的使用者較多,也可選擇其他帳號,按說明輸入帳號列表。
授權操作
選擇簡單設定中的唯讀(包含ListObject操作)操作。
單擊確定,完成其他部門許可權配置。
方案驗證
通過實際操作驗證本部門員工的完整讀寫權限和其他部門員工的唯讀許可權是否生效。
驗證本部門員工讀寫權限
上傳檔案
使用本部門員工帳號登入OSS控制台。
通過
https://oss.console.alibabacloud.com/bucket/oss-{region-id}/{bucket-name}/object進入檔案清單。單擊上傳文件,按照頁面提示完成檔案上傳。
下載檔案
通過
https://oss.console.alibabacloud.com/bucket/oss-{region-id}/{bucket-name}/object進入檔案清單。單擊目標檔案操作列的詳情,然後單擊下載,檔案成功下載。
驗證其他部門員工唯讀許可權
上傳檔案
使用其他部門員工帳號登入OSS控制台。
通過
https://oss.console.alibabacloud.com/bucket/oss-{region-id}/{bucket-name}/object進入檔案清單。單擊上傳文件,工作清單顯示上傳失敗,提示
AccessDenied,確認無上傳許可權。
下載檔案
通過
https://oss.console.alibabacloud.com/bucket/oss-{region-id}/{bucket-name}/object進入檔案清單。單擊目標檔案操作列的詳情,然後單擊下載,檔案成功下載,確認具有讀取許可權。
刪除檔案
通過
https://oss.console.alibabacloud.com/bucket/oss-{region-id}/{bucket-name}/object進入檔案清單。勾選目標檔案,單擊徹底刪除,刪除檔案失敗,提示
AccessDenied,確認無刪除許可權。