您可以通过Bucket Policy授权其他用户访问您的OSS资源。

相比于RAM Policy,Bucket Policy支持在控制台直接进行图形化配置操作,并且Bucket拥有者直接可以进行访问授权。Bucket Policy常见的应用场景如下:
  • 向其他账号的RAM用户授权访问。

    您可以授予其他账号的RAM用户访问您的OSS资源的权限。

  • 向匿名用户授予带特定IP条件限制的访问权限。

    某些场景下,您需要向匿名用户授予带IP限制的访问策略。例如,企业内部的机密文档,只允许在企业内部访问,不允许在其他区域访问。由于企业内部人员较多,如果针对每个人配置RAM Policy,工作量非常大。此时,您可以基于Bucket Policy设置带IP限制的访问策略,从而高效方便地进行授权。

向其他账号的RAM用户授权访问

  1. 登录OSS 管理控制台
  2. 在左侧存储空间列表中,单击需要授权的存储空间名称,打开该存储空间概览页面。
  3. 单击文件管理页签,然后单击授权
  4. 授权页面,单击新增授权
  5. 新增授权页面,设置授权资源
    • 整个Bucket:授权策略针对整个Bucket生效。
    • 指定资源:授权策略只针对指定的资源生效。您需要同时输入资源路径,例如:abc/myphoto.png。若是针对目录授权,则需在目录结尾处加上星号(*),例如:abc/*
  6. 设置授权用户区域:
    • 当前账号:您可以从下拉菜单中选择当前账号的子账号,授予 Bucket 访问权限。您的账号必须是主账号,或拥有此 Bucket 管理权限及 RAM 控制台ListUsers权限的子账号。
    • 其他账号:当您需要给其他账号授予 Bucket 访问权限,或您的账号无ListUsers权限时,请直接输入被授权账号的 UID。
    • 匿名账号(*):若您需要给所有用户授权,可以选择匿名账号(*)
    说明 给 RAM 用户授予 ListUsers权限可参考:
    • 为 RAM 用户授权
    • ListUsers权限的 RAM 授权模板:
      {
          "Version": "1",
          "Statement": [
              {
                  "Effect": "Allow",
                  "Action": [
                      "ram:ListUsers"
                  ],
                  "Resource": [
                      "*"
                  ],
                  "Condition": {}
              }
          ]
      }
  7. 设置授权操作
    • 只读:对相关资源拥有查看、列表及下载权限。
    • 读/写:对相关资源有读和写权限。
    • 完全控制:对相关资源有所有操作的权限。
    • 拒绝访问:拒绝对相关资源的所有操作。
      说明 若针对某用户同时配置了多个Bucket Policy规则,那么该用户所拥有的权限是所有Policy规则的叠加,但是 拒绝访问优先。例如,针对某用户第一次设置了 只读权限,第二次设置了 读/写权限,那么该用户最终的权限为 只读读/写权限的叠加,即 读/写权限。如果第三次设置了 拒绝访问权限,则该用户最终的权限为 拒绝访问
  8. (可选)设置条件来限定此用户使用特定IP地址访问OSS资源,即设置IP等于IP不等于某一IP地址或IP地址段:
    • IP地址,例如:10.10.10.10。如有多个IP地址,用英文逗号(,)分隔。
    • IP地址段,例如:10.10.10.1/24。
  9. 单击确定

向匿名用户授予带特定IP条件限制的访问权限

  1. 登录OSS 管理控制台
  2. 在左侧存储空间列表中,单击需要授权的存储空间名称,打开该存储空间概览页面。
  3. 单击文件管理页签,然后单击授权
  4. 授权页面,单击新增授权
  5. 新增授权页面,设置授权资源
    • 整个Bucket:授权策略针对整个Bucket生效。
    • 指定资源:授权策略只针对指定的资源生效。您需要同时输入资源路径,例如:abc/myphoto.png。如果是针对目录授权,需要在目录结尾处加上星号(*),例如:abc/*
  6. 授权用户区域,勾选所有用户(*)
    警告 授予所有用户访问权限时,强烈建议您设置IP条件限制。如果不设置IP条件限制,则任何人都可以访问该资源。
  7. 设置授权操作
    • 只读:对相关资源拥有查看、列表及下载权限。
    • 读/写:对相关资源有读和写权限。
    • 完全控制:对相关资源有所有操作的权限。
    • 拒绝访问:拒绝对相关资源的所有操作。
      说明 若针对某些用户同时配置了多个Bucket Policy规则,那么这些用户所拥有的权限是所有Policy规则的叠加,但是 拒绝访问优先。例如,针对某些用户第一次设置了 只读权限,第二次设置了 读/写权限,那么这些用户最终的权限为 只读读/写权限的叠加,即 读/写权限。如果第三次设置了 拒绝访问权限,则这些用户最终的权限为 拒绝访问
  8. 设置条件。您可以设置IP等于IP不等于某一IP地址或IP地址段:
    • IP地址,例如:10.10.10.10。如有多个IP地址,用英文逗号(,)分隔。
    • IP地址段,例如:10.10.10.1/24。
  9. 单击确定

教程视频

  • 授权单个用户访问 OSS 资源

  • 授权多个用户访问 OSS 资源

  • 拒绝特定 IP 地址访问 OSS 资源