企业不同部门或项目间需要共享数据时,通过Bucket Policy配置权限策略,允许其他部门用户下载共享数据,同时禁止写入和删除操作,有效防止共享数据被误删或篡改。
方案概览
部门A将存储在Bucket中的数据共享给部门B员工,实现差异化权限管理:部门A员工对Bucket数据具有完整读写权限,部门B员工仅可读取数据,无法进行修改或删除操作。
方案实现需要配置以下Bucket Policy:
本部门员工:授予完整读写权限。
其他部门员工:授予只读权限。
授予本部门读写权限
为本部门员工配置完整的读写权限,确保部门内部用户可以正常管理Bucket中的数据。
前往Bucket列表,单击目标Bucket。
在左侧菜单栏单击。
选择按图形策略添加,单击新增授权,按以下说明配置权限策略。
配置项
说明
授权资源
选择整个Bucket,也可按需选择指定资源。
授权用户
选择子账号,从下拉列表中选择本部门员工子账号。
如果需要授权的用户较多,也可选择其他账号,按说明输入账号列表。
授权操作
选择简单设置中的读/写操作。
单击确定,完成本部门权限配置。
授予其他部门只读权限
为其他部门员工配置只读权限,允许访问和下载共享数据,同时限制修改和删除操作。
前往Bucket列表,单击目标Bucket。
在左侧菜单栏单击。
选择按图形策略添加,单击新增授权,按以下说明配置只读权限。
配置项
说明
授权资源
选择整个Bucket,也可按需选择指定资源。
授权用户
选择子账号,从下拉列表中选择其他部门员工子账号。
如果需要授权的用户较多,也可选择其他账号,按说明输入账号列表。
授权操作
选择简单设置中的只读(包含ListObject操作)操作。
单击确定,完成其他部门权限配置。
方案验证
通过实际操作验证本部门员工的完整读写权限和其他部门员工的只读权限是否生效。
验证本部门员工读写权限
上传文件
使用本部门员工账号登录OSS控制台。
通过
https://oss.console.alibabacloud.com/bucket/oss-{region-id}/{bucket-name}/object进入文件列表。单击上传文件,按照页面提示完成文件上传。
下载文件
通过
https://oss.console.alibabacloud.com/bucket/oss-{region-id}/{bucket-name}/object进入文件列表。单击目标文件操作列的详情,然后单击下载,文件成功下载。
验证其他部门员工只读权限
上传文件
使用其他部门员工账号登录OSS控制台。
通过
https://oss.console.alibabacloud.com/bucket/oss-{region-id}/{bucket-name}/object进入文件列表。单击上传文件,任务列表显示上传失败,提示
AccessDenied,确认无上传权限。
下载文件
通过
https://oss.console.alibabacloud.com/bucket/oss-{region-id}/{bucket-name}/object进入文件列表。单击目标文件操作列的详情,然后单击下载,文件成功下载,确认具有读取权限。
删除文件
通过
https://oss.console.alibabacloud.com/bucket/oss-{region-id}/{bucket-name}/object进入文件列表。勾选目标文件,单击彻底删除,删除文件失败,提示
AccessDenied,确认无删除权限。