对 IAM 用户组授予 OBS 所有资源的所有操作权限

5.2 对当前帐号下多个 IAM 用户或用户群组授权

5.2.1 对 IAM 用户组授予 OBS 所有资源的所有操作权限

5.2.3 对IAM用户组授予OBS所有资源的指定操作权限

5.2.4 对IAM用户组授予OBS指定资源的指定操作权限

权限场景场景配置案例

对其他帐号授权

5.3.1 对其他帐号授予桶的读写权限 5.3.2 对其他帐号授予桶的指定操作权限

5.3.3 对其他帐号下的IAM用户授予桶和桶内资源的访问权

限

5.3.4 对其他帐号授予指定对象的读权限 5.3.5 对其他帐号授予指定对象的指定操作权限

对匿名用户授权

5.4.1 对匿名用户授予桶的公共读权限

5.4.2 对匿名用户授予指定目录的公共读权限 5.4.3 对匿名用户授予指定对象的公共读权限 5.4.4 向匿名用户临时分享对象

临时权限

5.5 临时授权访问OBS

企业项目

5.6 让IAM用户只能看到被授权的桶

限制IP

5.7 限制指定IP地址对桶的访问权限

权限配置指南 4 权限典型场景一览

5 ^{典型场景配置案例}

5.1 对当前帐号下单个IAM用户授权

5.2 对当前帐号下多个IAM用户或用户群组授权 5.3 对其他帐号授权

5.4 对匿名用户授权 5.5 临时授权访问OBS

5.6 让IAM用户只能看到被授权的桶 5.7 限制指定IP地址对桶的访问权限

5.1 对当前帐号下单个 IAM 用户授权

5.1.1 对单个 IAM 用户授予创建桶和列举桶的权限

场景介绍

本案例介绍如何为华为云帐号下的某个IAM用户授予OBS创建桶和列举桶的权限。拥有本权限的IAM用户可以创建桶，创建的桶仍然属于IAM用户对应的帐号。同时该IAM用户也可以看到帐号下的所有桶。

配置步骤

步骤1 使用帐号登录华为云，在右上角单击“控制台”。

步骤2 在控制台页面，鼠标移动至右上方的用户名，在下拉列表中选择“统一身份认证”。

步骤3 在左侧导航窗格中，单击“权限管理”>“权限”>“创建自定义策略”。

步骤4 配置自定义策略参数。

图5-1 配置自定义策略

表5-1 自定义策略参数配置说明

参数说明

策略名称输入自定义策略的名称

策略配置方式根据使用习惯进行选择，此处以“可视化视图”为例

策略内容 ● 选择“允许”

● 选择“对象存储服务 (OBS)”

● 勾选“写”操作中的“obs:bucket:CreateBucket”和

“列表”操作中的“obs:bucket:ListAllMyBuckets”

● 选择“所有资源”

作用范围默认为“全局级服务”

步骤5 单击“确定”，完成自定义策略创建。

步骤6 创建用户组并授权。

按照IAM文档指导，将前面步骤创建的自定义策略添加到用户组中。

步骤7 将需要授权的IAM用户加入到创建的用户组中，授权完成。

说明

由于缓存的存在，授予OBS相关的策略后，大概需要等待10~15分钟策略才能生效。

----结束

权限配置指南 5 典型场景配置案例

5.1.2 对单个 IAM 用户授予桶的读写权限

场景介绍

本案例介绍如何为华为云帐号下的某个IAM用户授予OBS桶的读写权限。

配置须知

OBS预置的“读写模式”拥有如下权限：

● GetObject：下载对象

● PutObject：上传对象

● GetObjectVersion：下载多版本对象

● DeleteObjectVersion：删除多版本对象

● DeleteObject：删除对象

按照本案例配置后，可以正常通过API或SDK完成读写操作（上传、下载、删除桶内所有对象），但如果通过控制台或OBS Browser+登录，会出现无权限的相关提示信息。

报错原因

如果希望IAM用户能在控制台或OBS Browser+顺利完成相关读写操作，请按照后续操作继续配置IAM自定义策略。

配置完成进入桶后仍然会出现无权限相关提示，属于正常现象，因为控制台还调用了其他高级配置的接口，但此时已可以正常完成读写模式中允许的操作。

配置步骤

步骤1 在OBS管理控制台左侧导航栏选择“桶列表”。

步骤2 在桶列表单击目标桶的桶名称，进入“概览”页面。

步骤3 在左侧导航栏，单击“访问权限控制”，进入权限管理页面。

步骤4 在“桶策略”页面，单击“创建”。

步骤5 在“桶读写”一栏，单击“使用模板创建”。

步骤6 配置桶策略内容。

图5-2 配置桶策略

表5-2 桶策略配置说明

参数说明

策略配置方式根据使用习惯进行选择，此处以“可视化视图”为例

策略名称输入自定义策略的名称

策略内容 ● 选择“允许”

● 被授权用户：

– 授权用户：当前帐号

– 子用户：选择被授权的IAM用户 – 用户策略：包含以上用户

● 资源：

– 勾选“当前桶”和“桶内对象”

– 资源策略：包含以上资源

步骤7 配置完成后，单击“配置确认”。

步骤8 核对权限配置信息，确认无误后单击“创建”，完成桶策略创建。

----结束

后续操作

如果希望在控制台或OBS Browser+顺利完成读写操作，需要能“看到”桶和桶中的对象，即需要通过IAM自定义策略配置列举桶（obs:bucket:ListAllMyBuckets）和列举桶中对象（obs:bucket:ListBucket）的权限。

说明

obs:bucket:ListAllMyBuckets面向所有资源，obs:bucket:ListBucket只面向授权的桶，所以策略要分别添加两条权限。

步骤1 使用帐号登录华为云，在右上角单击“控制台”。

权限配置指南 5 典型场景配置案例

步骤2 在控制台页面，鼠标移动至右上方的用户名，在下拉列表中选择“统一身份认证”。

步骤3 在左侧导航窗格中，单击“权限管理”>“权限”>“创建自定义策略”。

步骤4 配置自定义策略参数。

图5-3 配置自定义策略

表5-3 自定义策略参数配置说明

参数说明

策略名称输入自定义策略的名称

策略配置方式根据使用习惯进行选择，此处以“可视化视图”为例

策略内容【权限1】

● 选择“允许”

● 选择“对象存储服务 (OBS)”

● 勾选“列表”操作中的“obs:bucket:ListAllMyBuckets”

● 选择“所有资源”

【权限2】

● 选择“允许”

● 选择“对象存储服务 (OBS)”

● 勾选“列表”操作中的“obs:bucket:ListBucket”

● 选择“特定资源 > 通过资源路径指定 >添加资源路径”，

在路径中输入授权的桶名称，表示本策略只对该桶生效作用范围默认为“全局级服务”

步骤5 单击“确定”，完成自定义策略创建。

步骤6 创建用户组并授权。

按照IAM文档指导，将前面步骤创建的自定义策略添加到用户组中。

步骤7 将需要授权的IAM用户加入到创建的用户组中，授权完成。

说明

由于缓存的存在，授予OBS相关的策略后，大概需要等待10~15分钟策略才能生效。

----结束

5.1.3 对单个 IAM 用户授予桶的指定操作权限

场景介绍

本案例介绍如何为华为云帐号下的某个IAM用户授予OBS桶的指定操作权限，此处以授予删除桶的权限为例。

如果需要配置其他指定的权限，在桶策略的“动作名称”中选择对应动作即可。OBS 支持的动作

配置须知

按照本案例配置后，可以正常通过API或SDK完成桶删除操作，但如果通过控制台或 OBS Browser+登录桶列表，会出现无权限的相关提示信息。

报错原因：控制台或OBS Browser+登录后，加载桶列表会调用获取桶列表

（ListAllMyBuckets）等接口，删除桶时会先调用列举多版本对象

（ListBucketVersions）接口。而授予的权限中并没有包含这些操作的权限，所以会提示“拒绝访问，请检查响应权限”，或者“不允许在请求的资源上执行此操作”。

如果希望IAM用户能在控制台或OBS Browser+顺利完成桶删除操作，桶策略中要额外配置ListBucketVersions权限，同时请按照后续操作继续配置IAM自定义策略授予 ListAllMyBuckets权限。

配置步骤

步骤1 在OBS管理控制台左侧导航栏选择“桶列表”。

步骤2 在桶列表单击目标桶的桶名称，进入“概览”页面。

步骤3 在左侧导航栏，单击“访问权限控制”，进入权限管理页面。

步骤4 在“桶策略”页面，单击“创建”。

步骤5 在“自定义策略”一栏，单击“自定义创建”。

步骤6 配置桶策略内容。

权限配置指南 5 典型场景配置案例

图5-4 配置桶策略

表5-4 桶策略配置说明

参数说明

策略配置方式根据使用习惯进行选择，此处以“可视化视图”为例

策略名称输入自定义策略的名称

策略内容 ● 选择“允许”

● 被授权用户：

– 授权用户：当前帐号

– 子用户：选择被授权的IAM用户 – 用户策略：包含以上用户

● 资源：

– 勾选“当前桶”

– 资源策略：包含以上资源

● 动作：

– DeleteBucket

– ListBucketVersions（被授权用户需要在控制台或 OBS Browser+上访问时需要）

如果需要配置其他指定的权限，选择对应动作即可。

OBS支持的动作

– 操作策略：包含以上动作

步骤7 配置完成后，单击“配置确认”。

步骤8 核对权限配置信息，确认无误后单击“创建”，完成桶策略创建。

----结束

后续操作

如果希望在控制台和OBS Browser+顺利完成删除桶操作，需要能在控制台或OBS Browser+“看到”桶，即需要通过IAM自定义策略配置列举桶

（obs:bucket:ListAllMyBuckets）权限。

步骤1 使用帐号登录华为云，在右上角单击“控制台”。

步骤2 在控制台页面，鼠标移动至右上方的用户名，在下拉列表中选择“统一身份认证”。

步骤3 在左侧导航窗格中，单击“权限管理”>“权限”>“创建自定义策略”。

步骤4 配置自定义策略参数。

图5-5 配置自定义策略

表5-5 自定义策略参数配置说明

参数说明

策略名称输入自定义策略的名称。

策略配置方式根据使用习惯进行选择，此处以“可视化视图”为例。

策略内容 ● 选择“允许”

● 选择“对象存储服务 (OBS)”

● 勾选“列表”操作中的“obs:bucket:ListAllMyBuckets”

● 选择“所有资源”

作用范围默认为“全局级服务”。

步骤5 单击“确定”，完成自定义策略创建。

步骤6 创建用户组并授权。

按照IAM文档指导，将前面步骤创建的自定义策略添加到用户组中。

步骤7 将需要授权的IAM用户加入到创建的用户组中，授权完成。

说明

由于缓存的存在，授予OBS相关的策略后，大概需要等待10~15分钟策略才能生效。

----结束

5.1.4 对单个 IAM 用户授予指定对象的读权限

场景介绍

本案例介绍如何为华为云帐号下的某个IAM用户授予OBS桶中某个对象或某类对象的读权限。

权限配置指南 5 典型场景配置案例

配置须知

OBS预置的“只读模式”拥有如下权限：

● GetObject：下载对象

● GetObjectVersion：下载多版本对象

按照本案例配置后，可以正常通过API或SDK完成读操作（下载指定对象），但如果通过控制台或OBS Browser+登录，会出现无权限的相关提示信息。

报错原因：通过控制台或者OBS Browser+登录后，加载桶列表时会调用获取桶列表

（ListAllMyBuckets）等接口，加载对象列表时会调用列举桶内对象（ListBucket）等接口，其他页面也会调用其他的OBS接口。而授予的只读权限中并没有包含这些操作的权限，所以会提示“拒绝访问，请检查响应权限”，或者“不允许在请求的资源上执行此操作”。

如果希望IAM用户能在控制台或OBS Browser+顺利完成相关读操作，请按照后续操作继续配置IAM自定义策略。

配置步骤

步骤1 在OBS管理控制台左侧导航栏选择“桶列表”。

步骤2 在桶列表单击目标桶的桶名称，进入“概览”页面。

步骤3 在左侧导航栏，单击“访问权限控制”，进入权限管理页面。

步骤4 在“桶策略”页面，单击“创建”。

步骤5 在“目录只读”一栏，单击“使用模板创建”。

在文檔中 OBS权限控制概述_对象存储服务 OBS_权限配置指南_华为云 (頁 39-56)

5.2 对当前帐号下多个 IAM 用户或用户群组授权

5.2.1 对 IAM 用户组授予 OBS 所有资源的所有操作权限

5.2.3 对IAM用户组授予OBS所有资源的指定操作权限

5.2.4 对IAM用户组授予OBS指定资源的指定操作权限

5.3.1 对其他帐号授予桶的读写权限 5.3.2 对其他帐号授予桶的指定操作权限

5.3.3 对其他帐号下的IAM用户授予桶和桶内资源的访问权

5.3.4 对其他帐号授予指定对象的读权限 5.3.5 对其他帐号授予指定对象的指定操作权限

5.4.1 对匿名用户授予桶的公共读权限

5.4.2 对匿名用户授予指定目录的公共读权限 5.4.3 对匿名用户授予指定对象的公共读权限 5.4.4 向匿名用户临时分享对象

5.5 临时授权访问OBS

5.6 让IAM用户只能看到被授权的桶

5.7 限制指定IP地址对桶的访问权限

5 ^{典型场景配置案例}

5.1 对当前帐号下单个 IAM 用户授权

5.1.1 对单个 IAM 用户授予创建桶和列举桶的权限

场景介绍

推荐配置方法

配置步骤

5.1.2 对单个 IAM 用户授予桶的读写权限

场景介绍

推荐配置方法

配置须知

配置步骤

后续操作

5.1.3 对单个 IAM 用户授予桶的指定操作权限

场景介绍

推荐配置方法

配置须知

配置步骤

OBS支持的动作

后续操作

5.1.4 对单个 IAM 用户授予指定对象的读权限

场景介绍

推荐配置方法

配置须知

配置步骤