教程示例：基于Bucket Policy实现跨部门数据共享 - 对象存储 OSS

背景信息

部门A将存储在example-bucket存储空间（Bucket）中的数据共享给部门B的用户，并允许部门B的用户下载数据。本文介绍如何以最小权限原则对共享数据进行权限控制。在本场景下两个部门的管理员、用户与共享存储空间之间的逻辑关系如下图所示：

在此场景下，A部门的管理员可以通过配置Bucket Policy，授予B部门用户允许下载，但禁止写入和删除共享数据的权限。具体配置流程如下：

企业账号已通过访问控制RAM创建A部门管理员用户及其普通用户、B部门管理员用户及其普通用户。
有关创建RAM用户的详情，请参见创建RAM用户。
已获取RAM用户UID。
有关查看RAM用户基本信息，例如UID等，详情请参见查看RAM用户基本信息。
已为RAM用户授权
在创建管理员用户时，A部门的管理员由于要执行创建Bucket、配置Bucket Policy等操作，因此需要管理员所属用户组具有AliyunOSSFullAccess权限。有关RAM用户授权详情，请参见为RAM用户授权。

A部门管理员在华东1（杭州）地域创建Bucket的具体步骤如下：

使用A部门管理员账号登录OSS管理控制台。
单击Bucket列表，然后单击创建Bucket。
在创建Bucket页面，配置Bucket参数。
结合本示例场景，请将Bucket命名为example-bucket。关于配置Bucket其他各项参数的更多信息，请参见创建存储空间。
单击确定。

部门A的管理员为本部门的用户配置允许上传共享数据的权限，具体步骤如下：

在新增授权面板，按说明配置以下参数，其他参数保留默认配置。


配置项	说明
授权资源	选择整个Bucket，授权策略对整个Bucket生效。
授权用户	选择选择子账号。您可以从下拉菜单中选择部门A管理员账号下允许上传数据的用户账号。若部门A管理员下的用户账号较多时，您也可以直接在搜索框输入子账号名称，搜索支持模糊匹配。
授权操作	选择读/写。表示被授权用户可以对指定资源执行读取和写入操作。

部门A的管理员为部门B的用户配置允许下载共享数据的权限。具体步骤如下：

在新增授权面板，按说明配置以下参数，其他参数保留默认配置。


配置项	说明
授权资源	选择整个Bucket，授权策略对整个Bucket生效。
授权用户	选择其他账号：输入被授权下载共享数据B用户的UID。
授权操作	选择只读。表示对共享资源example-bucket中的数据拥有查看、列举及下载权限，但无法对共享数据执行写入和删除操作。

A部门用户上传数据到example-bucket。具体步骤如下：

使用A部门用户账号登录OSS管理控制台。
通过https://oss.console.aliyun.com/bucket/hangzhou/example-bucket/object/upload 进入上传文件页面。
在上传文件页面，设置上传文件参数。
选择将文件上传至example-bucket当前目录。有关上传文件的ACL、以及文件上传方式的说明请参见上传文件。
在上传任务页面等待任务完成，之后关闭对话框。
此时，A用户已完成将数据上传至共享Bucket。

权限授予成功后，通过OSS控制台验证B部门用户对共享数据仅拥有下载权限、但无法对共享数据进行写入和删除操作。

使用B部门用户账号登录OSS管理控制台。
通过https://oss.console.aliyun.com/bucket/hangzhou/example-bucket/object进入文件管理页面。
在文件管理页面，验证以下权限。
1. 验证B部门用户对共享数据的下载权限。
  单击example-bucket中任意目标文件右侧的 > 下载。
  - 下载失败，表示下载权限配置失败，请检查权限配置是否正确。
  - 下载成功，表示下载权限配置成功。
2. 验证B部门用户对共享数据的上传权限。
  参考步骤4上传文件。
  - 上传失败，表示上传权限配置成功。
  - 上传成功，表示上传权限配置失败，请检查权限配置是否正确。
3. 验证B部门用户对共享数据的删除权限。
  单击example-bucket中任意目标文件右侧的 > 删除。
  - 删除失败，表示删除权限配置成功。
  - 删除成功，表示删除权限配置失败，请检查权限配置是否正确。