动态与公告

产品动态

产品公告

产品简介

产品概述

功能概览

应用场景

产品优势

基本概念

地域和访问域名

规格与限制

产品计费

计费概述

计费方式

计费项

免费额度

计费示例

查看和下载账单

欠费说明

常见问题

快速入门

控制台快速入门

COSBrowser 快速入门

用户指南

创建请求

存储桶

对象

数据管理

批量处理

全球加速

监控与告警

运维中心

数据处理

内容审核

智能工具箱

数据工作流

应用集成

工具指南

工具概览

环境安装与配置

COSBrowser 工具

COSCLI 工具

COSCMD 工具

COS Migration 工具

FTP Server 工具

Hadoop 工具

COSDistCp 工具

HDFS TO COS 工具

GooseFS-Lite 工具

在线辅助工具

自助诊断工具

实践教程

概览

访问控制与权限管理

性能优化

使用 AWS S3 SDK 访问 COS

数据容灾备份

域名管理实践

图片处理实践

COS 音视频播放器实践

工作流实践

数据直传

内容审核实践

数据安全

数据校验

大数据实践

COS 成本优化解决方案

在第三方应用中使用 COS

迁移指南

本地数据迁移至 COS

第三方云存储数据迁移至 COS

以 URL 作为源地址的数据迁移至 COS

COS 之间数据迁移

Hadoop 文件系统与 COS 之间的数据迁移

数据湖存储

云原生数据湖

元数据加速

数据加速器 GooseFS

数据处理

数据处理概述

图片处理

媒体处理

内容审核

文件处理

文档处理

故障处理

获取 RequestId 操作指引

通过外网上传文件至 COS 缓慢

访问 COS 时返回403错误码

资源访问异常

POST Object 常见异常

API 文档

简介

公共请求头部

公共响应头部

错误码

请求签名

操作列表

Service 接口

Bucket 接口

Object 接口

批量处理接口

数据处理接口

任务与工作流

内容审核接口

云查毒接口

SDK 文档

SDK 概览

准备工作

Android SDK

C SDK

C++ SDK

.NET(C#) SDK

Flutter SDK

Go SDK

iOS SDK

Java SDK

JavaScript SDK

Node.js SDK

PHP SDK

Python SDK

React Native SDK

小程序 SDK

错误码

鸿蒙(Harmony) SDK

终端 SDK 质量优化

安全与合规

数据容灾

数据安全

访问管理

常见问题

热门问题

一般性问题

计费计量问题

域名合规问题

存储桶配置问题

域名和 CDN 问题

文件操作问题

日志监控问题

权限管理问题

数据处理问题

数据安全问题

预签名 URL 问题

SDK 类问题

工具类问题

API 类问题

服务协议

Service Level Agreement

隐私政策

数据处理和安全协议

联系我们

词汇表

权限设置相关案例

PDF

聚焦模式

字号

最后更新时间： 2025-11-18 16:49:47

通过存储桶策略（Policy）授权案例
准备工作
1. 创建存储桶
通过存储桶策略（Policy）授权仅针对特定的存储桶，因此您需要先 创建存储桶。如需针对账号维度进行授权，请参见本文的 通过访问管理（CAM）授权案例。
2. 准备被授权账号的 UIN
本文假设拥有目标存储桶的主账号 UIN 为100000000001，其下的子账号为100000000011，子账号需要被授权才能访问目标存储桶。
说明
如需查询主账号下所创建的子账号，可登录访问管理控制台，在 用户列表 中查看。
如需创建新的子账号，请参见 新建子用户 文档。
3. 打开添加策略对话框
进入目标存储桶的权限管理，选择 Policy 权限设置 > 图形设置，并单击打开添加策略对话框，随后请参见本文的授权案例进行配置。添加策略的详细操作指引，可参见 添加存储桶策略 文档。
以下列举了几种不同的授权案例，您可按照实际情况进行配置。
授权案例
案例一：授予子账号拥有特定目录的所有权限
配置信息如下：
配置项
配置值
效力
允许
用户
选择子账号，然后输入子账号的 UIN，该子账号必须为当前主账号下的子账号，例如100000000011
资源
选择指定资源路径，例如folder/sub-folder/*
操作
选择所有操作
案例二：授予子账号拥有特定目录内所有文件的读权限
配置信息如下：
配置项
配置值
效力
允许
用户
选择子账号，然后输入子账号的 UIN，该子账号必须为当前主账号下的子账号，例如100000000011
资源
选择指定资源路径，例如folder/sub-folder/*
操作
读操作(含列出对象列表)
案例三：授予子账号拥有特定文件的读写权限
配置信息如下：
配置项
配置值
效力
允许
用户
选择子账号，然后输入子账号的 UIN，该子账号必须为当前主账号下的子账号，例如100000000011
资源
选择指定对象键，例如folder/sub-folder/example.jpg
操作
所有操作
案例四：授予子账号拥有特定目录下所有文件的读写权限，并禁止拥有该目录下指定文件的读写权限
针对此案例，我们需要添加两个策略：允许策略和禁止策略。
1. 首先添加允许策略，配置信息如下：
配置项
配置值
效力
允许
用户
选择子账号，然后输入子账号的 UIN，该子账号必须为当前主账号下的子账号，例如100000000011
资源
指定目录前缀，例如folder/sub-folder/*
操作
所有操作
2. 随后添加禁止策略，配置信息如下：
配置项
配置值
效力
拒绝
用户
选择子账号，然后输入子账号的 UIN，该子账号必须为当前主账号下的子账号，例如100000000011
资源
指定需要禁止被访问的对象键，例如folder/sub-folder/privateobject
操作
所有操作
案例五：授权子账号对指定前缀的文件的读写权限
配置信息如下：
配置项
配置值
效力
允许
用户
选择子账号，然后输入子账号的 UIN，该子账号必须为当前主账号下的子账号，例如100000000011
资源
指定前缀，例如folder/sub-folder/prefix
操作
所有操作
通过访问管理（CAM）授权案例
用户如需针对账号维度进行授权，请参见以下文档进行配置：
授权子账号对特定目录的所有权限
授权子账号对特定目录内文件的读权限
授权子账号对特定文件的读写权限
授权子账号拥有 COS 资源的读权限
授权子账号拥有特定目录下除指定文件之外的其他所有文件的读写权限
授权子账号对指定前缀的文件的读写权限
授权跨账号对指定文件的读写权限

帮助和支持

本页内容是否解决了您的问题？

您也可以联系销售或提交工单以寻求帮助。

填写满意度调查问卷，共创更好文档体验。

文档反馈

tencent cloud

对象存储

权限设置相关案例

通过存储桶策略（Policy）授权案例

准备工作

授权案例

案例一：授予子账号拥有特定目录的所有权限

案例二：授予子账号拥有特定目录内所有文件的读权限

案例三：授予子账号拥有特定文件的读写权限

案例四：授予子账号拥有特定目录下所有文件的读写权限，并禁止拥有该目录下指定文件的读写权限

案例五：授权子账号对指定前缀的文件的读写权限

通过访问管理（CAM）授权案例

帮助和支持

配置项	配置值
效力	允许
用户	选择子账号，然后输入子账号的 UIN，该子账号必须为当前主账号下的子账号，例如100000000011
资源	选择指定资源路径，例如`folder/sub-folder/*`
操作	选择所有操作