在默认情况下,阿里云所有的OSS资源都是私有的,只有资源拥有者才能访问这些资源。若拥有者希望他人也可以访问这些资源的话,就需要配置访问策略,授予他人访问的权限。Bucket Policy目前支持针对指定的用户、匿名用户授予带IP条件的访问策略。
如某公司创建了一个存储空间,需要指定内部员工仅可以访问存储空间内某个目录下的文件。首先,登陆对象存储OSS控制台,选择已经创建好的Bucket,在弹出的页面中单击文件管理,授权→新增授权。
在弹出的对话框中选择授权资源,其中整个Bucket是针对Bucket的所有资源生效;指定资源则仅针对指定的资源生效;针对单个文件,我们则需要输入完整的资源路径,如abc/myphoto.jpg;针对目录则需要加上/,如abc/。
这里我们选择指定目录,输入指定目录的路径,在授权用户栏输入子账号的UID号。子账号的UID号,可在控制台右上角企业→人员管理→单击子账号用户名,查看到多个子账号。多个子账号,需换行填写。授权操作可添加不同的权限,其中“只读”可授权用户对资源拥有读、列表和下载权限;“读/写”可授权用户对资源拥有读写权限;“完全控制”可授权用户对资源拥有所有操作的权限;“拒绝访问”则禁止用户访问资源。
我们选择只读之后单击确定完成操作。
Bucket Policy可以设置多条策略同时生效。如某个用户同时有只读和读/写的权限,则该用户拥有读写的权限。拒绝访问的权限优先级最高,如某个用户同时有只读、读/写和拒绝访问的权限,则该用户无法访问此资源。
我们用ussutill工具来测试一下授权之后的效果,以Windows7 64位系统为例,使用ussutill联系被授权账号。
输入命令ossutill64.exe cp oss://20181029/abc d:-r,复制abc目录的所有文件到D盘,提示下载成功。
打开D盘,可以看到我们的文件已经下载成功了。
更多信息参见:对象存储 OSS > 控制台用户指南 > 上传、下载和管理文件 > 使用Bucket Policy授权其他用户访问OSS资源
原文地址:https://aliyunnew.com/a/What-is-Aliyun-OSS-access-policy-Bucket-Policy.html