全部产品
Search
文档中心

对象存储 OSS:权限管理

更新时间:Oct 23, 2023

当您需要授予某个用户访问Bucket中特定资源的权限时,可以使用ossbrowser进行简单的权限管理。

使用场景

某公司有多名员工,这些员工需访问Bucket中的资源。您可以通过ossbrowser将访问资源的权限授予不同用户,以实现该诉求。例如,临时授权员工A访问Bucket中某个目录的权限,或长期授权员工B某个Bucket或某个目录只读或读写权限。

前提条件

为保证数据安全,推荐您使用RAM用户(子账号)的AccessKey(AK)登录ossbrowser。该RAM用户(RAM用户A)需具备管理某一Bucket的权限、AliyunRAMFullAccess(管理访问控制RAM的权限)、AliyunSTSAsumeRoleAccess(调用STS服务AssumeRole接口的权限),以便进行临时授权和简化Policy授权。更多信息,请参见创建RAM用户为RAM用户授权

临时授权

临时授权是指通过调用AssumeRole接口,扮演一个RAM角色获取其临时身份凭证,并生成临时授权码,提供给相应的人员,允许其在授权码到期前,临时访问您Bucket下某个目录。到期后,临时授权码会自动失效。

  1. 使用RAM用户A的AK登录ossbrowser。

    更多信息,请参见创建AccessKey安装并登录ossbrowser

  2. 单击目标Bucket名称。

  3. 勾选需要临时授权的目录,选择更多 > 生成授权码

    重要

    仅目录支持生成授权码。

    image.png
  4. 设置权限、有效时长、角色,然后单击确定生成

    说明

    角色需要至少具有这个目录的只读权限。

  5. 单击点击复制,获取生成的授权码。

  6. 将授权码提供给其他用户,以便其临时访问您Bucket下某个目录。

    说明

    其他用户可以使用授权码登录ossbrowser。更多信息,请参见通过授权码登录

长期授权

ossbrowser支持长期授权(简化Policy授权),基于授权时权限的选取,自动生成Policy,并授权给RAM用户。授权后RAM用户将具备某个Bucket或某个目录只读或读写权限。

说明

ossbrowser简化Policy授权,是基于阿里云RAM的访问控制产品。您也可以直接登录阿里云官网的RAM控制台,对RAM用户进行更细致的管理。

  1. RAM用户A登录ossbrowser。

  2. 单击目标Bucket名称。

  3. 勾选一个或多个需要授权的文件或目录,并选择更多 > 简化Policy授权

  4. 简化Policy授权页面,选择权限。

  5. 给已有的RAM用户(RAM用户B)授权或者创建新的RAM用户。image.png

    说明

    您可以单击查看Policy,查看生成的Policy文本,并将其复制到您需要的地方使用。例如,将Policy文本复制到阿里云官网RAM控制台,用于RAM用户、Role的授权策略编辑。

  6. RAM用户B的AK登录ossbrowser,管理相应资源。