功能描述
- 用户想针对子账号授权访问某个 bucket,将只读、读写、完全控制分开授权;
- 用户想针对跨账号进行授权。
- 用户想针对匿名用户进行管理。
- 在授权基础上增加条件限制,从 IP 纬度限制用户的访问;
bucket policy 和 RAM policy 区别
- 二者同时配置的情况下,可以并行存在,但如果策略出现冲突,将以范围粒度更大的优先。
- RAM policy 更适合开发者通过 AccesskeyID ,AccesskeySecret 进行调用。bucket policy 用在控制台登录或者匿名用户访问的场景较多
- RAM policy 定义的 Action(API) 细化的场景更多,bucket policy 粒度较粗。
授权场景
先了解完全控制和读写有什么区别,完全控制是说对 bucket 属性本身进行控制,包括 bucket 的配置权限。读写只是能上传、下载 OSS 的文件;
bucket 是私有的,只开放某个目录公开访问
bucket 是私有的,只想某个 IP 匿名能访问
只想让子账号拥有某个目录的管理权限,其他目录要写具体权限
1、先在 OSS 控制台上增加一个具体目录的操作权限。
2、然后通过这个工具自动编排一个细粒度的 RAM 权限即可;
自助工具:https://ali.zhangyb.mobi/robot