使用 RAM 子账号登录

为保证数据安全,推荐您使用 RAM 账号(子账号)的 AccessKey(AK)登录 ossbrowser。步骤如下:
  1. 创建子账号和 AK。详情请参见创建RAM用户

    子帐号的权限分为:

    • 管理员子账号:拥有管理权限的子账号。例如:授予某个子账号可管理所有Bucket和具有 RAM 授权配置的权限,该子账号即为管理员子账号。您可以使用阿里云主账户登录RAM控制台后,创建管理员子账号,对账号授予如下权限。

    • 操作员子账号:仅拥有某个 Bucket 或某个目录只读权限的子账号。管理员可通过简化 Policy 授权给子账号分配权限。
      说明 您可以为子帐号授予更小的权限,具体设置请参考权限管理最佳实践
  2. 登录 ossbrowser。
    • Endpoint:使用默认值,无需配置。
    • AccessKeyIdAccessKeySecret:输入子账号的 AK。
    • 预设 OSS 路径
      • 拥有所有 Bucket 管理权限的管理员子账号:无需配置。
      • 操作员子账号:需要配置。填写您需要访问的 OSS Bucket 名称或子目录(该 RAM 子账号需要有该路径的访问权限),格式为oss://bucket名称/子目录/
    • 记住秘钥:勾选可保存 AK 秘钥。再次登录时,单击 AK 历史,可选择该密钥登录,不需要手动输入 AK,请不要在临时使用的电脑上勾选。

使用临时授权码登录

ossbrowser 还支持临时授权码登录。您可以将临时授权码提供给相应的人员,允许其在授权码到期前,临时访问您 Bucket 下某个目录。到期后,临时授权码会自动失效。
  1. 生成临时授权码。
    比如,您作为管理员,先使用管理员子账号 AK 登录 ossbrowser,并在管理界面,选择需要临时授权的文件或目录,生成临时授权码,如下图所示:

  2. 使用授权码登录 ossbrowser。
    在过期前,临时授权码可用来登录 ossbrowser,如下图所示:

简化 Policy 授权

管理员子账号登录 ossbrowser 后,可通过 简化 Policy 授权,创建操作员子账号或对操作员子账号进行授权,可授予某个 Bucket 或某个目录只读或读写权限。
说明 ossbrowser 简化 Policy 授权,是基于阿里云 RAM 的访问控制产品。您也可以直接登录阿里云官网的 RAM 控制台,对子账号进行更细致的管理。
  1. 勾选一个或多个需要授权的文件或目录,并单击简化 Policy 授权,如下图所示:

  2. 简化 Policy 授权页面,选择权限。
  3. 您可以在该页面给已有的操作员子账号授权或者创建新的操作员子账号。
    注意 当前登录 ossbrowser 的 AK,必须拥有 RAM 的配置操作权限,才能使用简化 Policy 授权。例如,拥有 RAM 配置管理权限的管理员子账户的 AK。


    您可以查看生成的 Policy 文本,并将其复制到您需要的地方使用。例如,将 Policy 文本复制到阿里云官网 RAM 控制台,用于 RAM 子账号、Role 的授权策略编辑。