當您需要授予某個使用者訪問Bucket中特定資源的許可權時,可以使用ossbrowser進行簡單的許可權管理。
使用情境
某公司有多名員工,這些員工需訪問Bucket中的資源。您可以通過ossbrowser將訪問資源的許可權授予不同使用者,以實現該訴求。例如,臨時授權員工A訪問Bucket中某個目錄的許可權,或長期授權員工B某個Bucket或某個目錄唯讀或讀寫權限。
前提條件
為保證資料安全,推薦您使用RAM使用者(子帳號)的AccessKey(AK)登入ossbrowser。該RAM使用者(RAM使用者A)需具備管理某一Bucket的許可權、AliyunRAMFullAccess(管理存取控制RAM的許可權)、AliyunSTSAsumeRoleAccess(調用STS服務AssumeRole介面的許可權),以便進行臨時授權和簡化Policy授權。更多資訊,請參見建立RAM使用者和為RAM使用者授權。
臨時授權
臨時授權是指通過調用AssumeRole介面,扮演一個RAM角色擷取其臨時身份憑證,並產生臨時授權碼,提供給相應的人員,允許其在授權碼到期前,臨時訪問您Bucket下某個目錄。到期後,臨時授權碼會自動失效。
使用RAM使用者A的AK登入ossbrowser。
更多資訊,請參見建立AccessKey和安裝並登入ossbrowser。
單擊目標Bucket名稱。
勾選需要臨時授權的目錄,選擇 。
重要僅目錄支援產生授權碼。
設定許可權、有效時間長度、角色,然後單擊確定產生。
說明角色需要至少具有這個目錄的唯讀許可權。
單擊點擊複製,擷取產生的授權碼。
將授權碼提供給其他使用者,以便其臨時訪問您Bucket下某個目錄。
說明其他使用者可以使用授權碼登入ossbrowser。更多資訊,請參見通過授權碼登入。
長期授權
ossbrowser支援長期授權(簡化Policy授權),基於授權時許可權的選取,自動產生Policy,並授權給RAM使用者。授權後RAM使用者將具備某個Bucket或某個目錄唯讀或讀寫權限。
ossbrowser簡化Policy授權,是基於阿里雲RAM的存取控制產品。您也可以直接登入阿里雲官網的RAM控制台,對RAM使用者進行更細緻的管理。
RAM使用者A登入ossbrowser。
單擊目標Bucket名稱。
勾選一個或多個需要授權的檔案或目錄,並選擇 。
在簡化Policy授權頁面,選擇許可權。
給已有的RAM使用者(RAM使用者B)授權或者建立新的RAM使用者。
說明您可以單擊查看Policy,查看產生的Policy文本,並將其複製到您需要的地方使用。例如,將Policy文本複製到阿里雲官網RAM控制台,用於RAM使用者、Role的授權策略編輯。
RAM使用者B的AK登入ossbrowser,管理相應資源。