全部產品
Search
文件中心

Object Storage Service:許可權管理

更新時間:Jun 19, 2024

當您需要授予某個使用者訪問Bucket中特定資源的許可權時,可以使用ossbrowser進行簡單的許可權管理。

使用情境

某公司有多名員工,這些員工需訪問Bucket中的資源。您可以通過ossbrowser將訪問資源的許可權授予不同使用者,以實現該訴求。例如,臨時授權員工A訪問Bucket中某個目錄的許可權,或長期授權員工B某個Bucket或某個目錄唯讀或讀寫權限。

前提條件

為保證資料安全,推薦您使用RAM使用者(子帳號)的AccessKey(AK)登入ossbrowser。該RAM使用者(RAM使用者A)需具備管理某一Bucket的許可權、AliyunRAMFullAccess(管理存取控制RAM的許可權)、AliyunSTSAsumeRoleAccess(調用STS服務AssumeRole介面的許可權),以便進行臨時授權和簡化Policy授權。更多資訊,請參見建立RAM使用者為RAM使用者授權

臨時授權

臨時授權是指通過調用AssumeRole介面,扮演一個RAM角色擷取其臨時身份憑證,並產生臨時授權碼,提供給相應的人員,允許其在授權碼到期前,臨時訪問您Bucket下某個目錄。到期後,臨時授權碼會自動失效。

  1. 使用RAM使用者A的AK登入ossbrowser。

    更多資訊,請參見建立AccessKey安裝並登入ossbrowser

  2. 單擊目標Bucket名稱。

  3. 勾選需要臨時授權的目錄,選擇更多 > 產生授權碼

    重要

    僅目錄支援產生授權碼。

    image.png

  4. 設定許可權、有效時間長度、角色,然後單擊確定產生

    說明

    角色需要至少具有這個目錄的唯讀許可權。

  5. 單擊點擊複製,擷取產生的授權碼。

  6. 將授權碼提供給其他使用者,以便其臨時訪問您Bucket下某個目錄。

    說明

    其他使用者可以使用授權碼登入ossbrowser。更多資訊,請參見通過授權碼登入

長期授權

ossbrowser支援長期授權(簡化Policy授權),基於授權時許可權的選取,自動產生Policy,並授權給RAM使用者。授權後RAM使用者將具備某個Bucket或某個目錄唯讀或讀寫權限。

說明

ossbrowser簡化Policy授權,是基於阿里雲RAM的存取控制產品。您也可以直接登入阿里雲官網的RAM控制台,對RAM使用者進行更細緻的管理。

  1. RAM使用者A登入ossbrowser。

  2. 單擊目標Bucket名稱。

  3. 勾選一個或多個需要授權的檔案或目錄,並選擇更多 > 簡化Policy授權

  4. 簡化Policy授權頁面,選擇許可權。

  5. 給已有的RAM使用者(RAM使用者B)授權或者建立新的RAM使用者。image.png

    說明

    您可以單擊查看Policy,查看產生的Policy文本,並將其複製到您需要的地方使用。例如,將Policy文本複製到阿里雲官網RAM控制台,用於RAM使用者、Role的授權策略編輯。

  6. RAM使用者B的AK登入ossbrowser,管理相應資源。