动态与公告

产品动态

产品公告

产品简介

产品概述

功能概览

应用场景

产品优势

基本概念

地域和访问域名

规格与限制

产品计费

计费概述

计费方式

计费项

免费额度

计费示例

查看和下载账单

欠费说明

常见问题

快速入门

控制台快速入门

COSBrowser 快速入门

用户指南

创建请求

存储桶

对象

数据管理

批量处理

全球加速

监控与告警

运维中心

数据处理

内容审核

智能工具箱

数据工作流

应用集成

工具指南

工具概览

环境安装与配置

COSBrowser 工具

COSCLI 工具

COSCMD 工具

COS Migration 工具

FTP Server 工具

Hadoop 工具

COSDistCp 工具

HDFS TO COS 工具

GooseFS-Lite 工具

在线辅助工具

自助诊断工具

实践教程

概览

访问控制与权限管理

性能优化

使用 AWS S3 SDK 访问 COS

数据容灾备份

域名管理实践

图片处理实践

COS 音视频播放器实践

工作流实践

数据直传

内容审核实践

数据安全

数据校验

大数据实践

COS 成本优化解决方案

在第三方应用中使用 COS

迁移指南

本地数据迁移至 COS

第三方云存储数据迁移至 COS

以 URL 作为源地址的数据迁移至 COS

COS 之间数据迁移

Hadoop 文件系统与 COS 之间的数据迁移

数据湖存储

云原生数据湖

元数据加速

数据加速器 GooseFS

数据处理

数据处理概述

图片处理

媒体处理

内容审核

文件处理

文档处理

故障处理

获取 RequestId 操作指引

通过外网上传文件至 COS 缓慢

访问 COS 时返回403错误码

资源访问异常

POST Object 常见异常

API 文档

简介

公共请求头部

公共响应头部

错误码

请求签名

操作列表

Service 接口

Bucket 接口

Object 接口

批量处理接口

数据处理接口

任务与工作流

内容审核接口

云查毒接口

SDK 文档

SDK 概览

准备工作

Android SDK

C SDK

C++ SDK

.NET(C#) SDK

Flutter SDK

Go SDK

iOS SDK

Java SDK

JavaScript SDK

Node.js SDK

PHP SDK

Python SDK

React Native SDK

小程序 SDK

错误码

鸿蒙(Harmony) SDK

终端 SDK 质量优化

安全与合规

数据容灾

数据安全

访问管理

常见问题

热门问题

一般性问题

计费计量问题

域名合规问题

存储桶配置问题

域名和 CDN 问题

文件操作问题

日志监控问题

权限管理问题

数据处理问题

数据安全问题

预签名 URL 问题

SDK 类问题

工具类问题

API 类问题

服务协议

Service Level Agreement

隐私政策

数据处理和安全协议

联系我们

词汇表

COS API 授权策略使用指引

PDF

聚焦模式

字号

最后更新时间： 2024-01-06 10:47:50

注意
 在给子用户或协作者授予 API 操作权限时，请务必根据业务需要，按照最小权限原则进行授权。如果您直接授予子用户或者协作者所有资源(resource:*)，或所有操作(action:*)权限，则存在由于权限范围过大导致数据安全风险。
概述
对象存储（Cloud Object Storage，COS）使用临时密钥服务时，不同的 COS API 操作需要不同的操作权限，而且可以同时指定一个操作或一序列操作。
COS API 授权策略（policy）是一种 JSON 字符串。例如，授予 APPID 为1250000000，地域为 ap-beijing，存储桶为 examplebucket-1250000000 ，路径前缀为 doc 的上传操作（包括简单上传、表单上传、分块上传等操作）的权限，路径前缀为 doc2 的下载操作权限的策略内容如下所示：
{
    "version": "2.0",
    "statement": [{
            "action": [
                //简单上传操作 
                "name/cos:PutObject",
                //表单上传对象 
                "name/cos:PostObject",
                //分块上传：初始化分块操作 
                "name/cos:InitiateMultipartUpload",
                //分块上传：List 进行中的分块上传
                "name/cos:ListMultipartUploads",
                //分块上传：List 已上传分块操作 
                "name/cos:ListParts",
                //分块上传：上传分块块操作 
                "name/cos:UploadPart",
                //分块上传：完成所有分块上传操作 
                "name/cos:CompleteMultipartUpload",
                //取消分块上传操作 
                "name/cos:AbortMultipartUpload"
            ],
            "effect": "allow",
            "resource": [
                "qcs::cos:ap-beijing:uid/1250000000:examplebucket-1250000000/doc/*"
            ]
        },
        {
            "action": [
                //下载操作 
                "name/cos:GetObject"
            ],
            "effect": "allow",
            "resource": [
                "qcs::cos:ap-beijing:uid/1250000000:examplebucket-1250000000/doc2/*"
            ]
        }
    ]
}
授权策略（policy）元素说明
名称
描述
version
策略语法版本，默认为2.0。
effect
有 allow （允许）和 deny （显式拒绝）两种情况。
resource
授权操作的具体数据，可以是任意资源、指定路径前缀的资源、指定绝对路径的资源或它们的组合。
注意：
若路径为中文，则保持中文输入即可。例如examplebucket-1250000000/文件夹/文件名.txt。
action
此处是指 COS API，根据需求指定一个或者一序列操作的组合或所有操作(*)，例如 action 为 name/cos:GetService，请注意区分英文大小写。
condition
约束条件，可以不填，具体说明请参见 condition 说明。
下面列出了各 COS API 设置授权策略的示例。
Service API
查询存储桶列表
API 接口为 GET Service，若授予其操作权限，则策略的 action 为 name/cos:GetService，resource为* 。
示例
授予查询存储桶列表操作权限的策略详细内容如下：
{
  "version": "2.0",
  "statement": [
    {
      "action": [
        "name/cos:GetService"
      ],
      "effect": "allow",
      "resource": [
        "*"
      ]
    }
  ]
}
Bucket API
Bucket API 策略的 resource 可以归纳为以下几种情况：
操作全部地域的存储桶
则策略的 resource 为*，该策略限定的资源范围，存在由于权限范围过大导致数据安全风险，请谨慎配置。
仅允许操作指定地域的存储桶
例如只允许操作 APPID 为1250000000，地域归属于北京（ap-beijing）的存储桶，则策略的 resource 为qcs::cos:ap-beijing:uid/1250000000:*。
仅允许操作指定地域且指定名称的存储桶
例如只可操作 APPID 为1250000000，地域为 ap-beijing 且名称为 examplebucket-1250000000 的存储桶，则策略的 resource 为qcs::cos:ap-beijing:uid/1250000000:examplebucket-1250000000/*。
Bucket API 策略的 action 则因操作不同而取值不同，以下列举部分 Bucket API 授权策略，其他 Bucket API 授权策略可作参照。
创建存储桶
API 接口为 PUT Bucket，若授予其操作权限，则策略的 action 为 name/cos:PutBucket。
示例
授予用户 APPID 为1250000000，创建存储桶的权限。例如创建一个地域为北京地域，存储桶名称为 examplebucket-1250000000 的存储桶，则策略详细内容如下：
{
  "version": "2.0",
  "statement": [
    {
      "action": [
        "name/cos:PutBucket"
      ],
      "effect": "allow",
      "resource": [
        "qcs::cos:ap-beijing:uid/1250000000:examplebucket-1250000000/"
      ]
    }
  ]
}
说明
 存储桶名称需符合命名规范，详情请参见 存储桶命名规范。
检索存储桶及其权限
API 接口为 HEAD Bucket，若授予其操作权限，则策略的 action 为 name/cos:HeadBucket。
示例
授予只能检索 APPID 为1250000000 ，地域为 ap-beijing ，存储桶为 examplebucket-1250000000 的操作权限，其策略详细内容如下：
{
  "version": "2.0",
  "statement": [
    {
      "action": [
        "name/cos:HeadBucket"
      ],
      "effect": "allow",
      "resource": [
        "qcs::cos:ap-beijing:uid/1250000000:examplebucket-1250000000/"
      ]
    }
  ]
}
查询对象列表
API 接口为 GET Bucket，若授予其操作权限，则策略的 action 为 name/cos:GetBucket。
示例
授予只能查询 APPID 为1250000000 ，地域为 ap-beijing，存储桶为 examplebucket-1250000000 的对象列表的操作权限，其策略详细内容如下：
{
  "version": "2.0",
  "statement": [
    {
      "action": [
        "name/cos:GetBucket"
      ],
      "effect": "allow",
      "resource": [
        "qcs::cos:ap-beijing:uid/1250000000:examplebucket-1250000000/"
      ]
    }
  ]
}
删除存储桶
API 接口为 Delete Bucket，若授予其操作权限，则策略的 action 为 name/cos:DeleteBucket。
示例
授予只能删除 APPID 为1250000000 ，地域为 ap-beijing ，存储桶为 examplebucket-1250000000 的存储桶的操作权限，其策略详细内容如下：
{
  "version": "2.0",
  "statement": [
    {
      "action": [
        "name/cos:DeleteBucket"
      ],
      "effect": "allow",
      "resource": [
        "qcs::cos:ap-beijing:uid/1250000000:examplebucket-1250000000/"
      ]
    }
  ]
}
设置存储桶 ACL
API 接口为 Put Bucket ACL，若授予其操作权限，则策略的 action 为 name/cos:PutBucketACL。
示例
授予只能设置 APPID 为1250000000 ，地域为 ap-beijing ，存储桶为 examplebucket-1250000000 的 ACL 的操作权限，其策略详细内容如下：
{
  "version": "2.0",
  "statement": [
    {
      "action": [
        "name/cos:PutBucketACL"
      ],
      "effect": "allow",
      "resource": [
        "qcs::cos:ap-beijing:uid/1250000000:examplebucket-1250000000/"
      ]
    }
  ]
}
查询存储桶 ACL
API 接口为 GET Bucket acl，若授予其操作权限，则策略的 action 为 name/cos:GetBucketACL。
示例
授予只能获取 APPID 为1250000000 ，地域为 ap-beijing ，存储桶为 examplebucket-1250000000 的 ACL 的操作权限，其策略详细内容如下：
{
  "version": "2.0",
  "statement": [
    {
      "action": [
        "name/cos:GetBucketACL"
      ],
      "effect": "allow",
      "resource": [
        "qcs::cos:ap-beijing:uid/1250000000:examplebucket-1250000000/"
      ]
    }
  ]
}
设置跨域配置
API 接口为 PUT Bucket cors，若授予其操作权限，则策略的 action 为 name/cos:PutBucketCORS。
示例
授予只能设置 APPID 为1250000000 ，地域为 ap-beijing ，存储桶为 examplebucket-1250000000 的跨域配置的操作权限，其策略详细内容如下：
{
  "version": "2.0",
  "statement": [
    {
      "action": [
        "name/cos:PutBucketCORS"
      ],
      "effect": "allow",
      "resource": [
        "qcs::cos:ap-beijing:uid/1250000000:examplebucket-1250000000/"
      ]
    }
  ]
}
查询跨域配置
API 接口为 GET Bucket cors，若授予其权限，则策略的 action 为 name/cos:GetBucketCORS。
示例
授予只能查询 APPID 为1250000000 ，地域为 ap-beijing  ，存储桶为 examplebucket-1250000000 的跨域配置的操作权限，其策略详细内容如下：
{
  "version": "2.0",
  "statement": [
    {
      "action": [
        "name/cos:GetBucketCORS"
      ],
      "effect": "allow",
      "resource": [
        "qcs::cos:ap-beijing:uid/1250000000:examplebucket-1250000000/"
      ]
    }
  ]
}
删除跨域配置
API 接口为 DELETE Bucket cors，若授予其操作权限，则策略的 action 为 name/cos:DeleteBucketCORS。
示例
授予只能删除 APPID 为1250000000 ，地域为 ap-beijing ，存储桶为 examplebucket-1250000000 的跨域配置的操作权限，其策略详细内容如下：
{
  "version": "2.0",
  "statement": [
    {
      "action": [
        "name/cos:DeleteBucketCORS"
      ],
      "effect": "allow",
      "resource": [
        "qcs::cos:ap-beijing:uid/1250000000:examplebucket-1250000000/"
      ]
    }
  ]
}
设置生命周期
API 接口为 PUT Bucket lifecycle，若授予其操作权限，则策略的 action 为 name/cos:PutBucketLifecycle 。
示例
授予只能设置 APPID 为1250000000 ，地域为 ap-beijing ，存储桶为 examplebucket-1250000000 的生命周期配置的操作权限，其策略详细内容如下：
{
  "version": "2.0",
  "statement": [
    {
      "action": [
        "name/cos:PutBucketLifecycle"
      ],
      "effect": "allow",
      "resource": [
        "qcs::cos:ap-beijing:uid/1250000000:examplebucket-1250000000/"
      ]
    }
  ]
}
查询生命周期
API 接口为 GET Bucket lifecycle，若授予其操作权限，则策略的 action 为 name/cos:GetBucketLifecycle。
示例
授予只能查询 APPID 为1250000000 ，地域为 ap-beijing ，存储桶为 examplebucket-1250000000 的生命周期配置的操作权限，其策略详细内容如下：
{
  "version": "2.0",
  "statement": [
    {
      "action": [
        "name/cos:GetBucketLifecycle"
      ],
      "effect": "allow",
      "resource": [
        "qcs::cos:ap-beijing:uid/1250000000:examplebucket-1250000000/"
      ]
    }
  ]
}
删除生命周期
API 接口为 DELETE Bucket lifecycle，若授予其操作权限，则策略的 action 为 name/cos:DeleteBucketLifecycle。
示例
授予只能删除 APPID 为1250000000 ，地域为 ap-beijing，存储桶为 examplebucket-1250000000 的生命周期配置的操作权限，其策略详细内容如下：
{
  "version": "2.0",
  "statement": [
    {
      "action": [
        "name/cos:DeleteBucketLifecycle"
      ],
      "effect": "allow",
      "resource": [
        "qcs::cos:ap-beijing:uid/1250000000:examplebucket-1250000000/"
      ]
    }
  ]
}
Object API
Object API 策略的 resource 可以归纳为以下几种情况：
可操作任意对象，策略的 resource 为*。
只可操作指定存储桶中的任意对象，如只可操作 APPID 为1250000000 ， 地域为 ap-beijing，且名称为 examplebucket-1250000000 的存储桶中的任意对象，则策略的 resource 为qcs::cos:ap-beijing:uid/1250000000:examplebucket-1250000000/*。
只可操作指定存储桶 且 指定路径前缀下的任意对象，如只可操作 APPID 为1250000000 ， 地域为 ap-beijing，存储桶为 examplebucket-1250000000，路径前缀为 doc 下的任意对象，则策略的 resource 为qcs::cos:ap-beijing:uid/1250000000:examplebucket-1250000000/doc/*。
只可操作指定绝对路径的对象，如只可操作 APPID 为1250000000 ， 地域为 ap-beijing，存储桶为 examplebucket-1250000000，绝对路径为doc/audio.mp3的对象，则策略的 resource 为qcs::cos:ap-beijing:uid/1250000000:examplebucket-1250000000/doc/audio.mp3。
Object API 策略的 action 则因操作不同而取值不同，以下列举所有 Object API 授权策略。
简单上传对象
API 接口为 PUT Object，若授予其操作权限，则策略的 action为 name/cos:PutObject。
示例
授予只能在 APPID 为1250000000 ，地域为 ap-beijing，存储桶为 examplebucket-1250000000，路径前缀为 doc 下进行简单上传的操作权限，其策略详细内容如下：
 {
  "version": "2.0",
  "statement": [
    {
      "action": [
        "name/cos:PutObject"
      ],
      "effect": "allow",
      "resource": [
        "qcs::cos:ap-beijing:uid/1250000000:examplebucket-1250000000/doc/*"
      ]
    }
  ]
}
分块上传
分块上传包含 Initiate Multipart Upload，List Multipart Uploads，List Parts，Upload Part，Complete Multipart Upload，Abort Multipart Upload。若授予其操作权限，则策略的 action 为："name/cos:InitiateMultipartUpload","name/cos:ListMultipartUploads","name/cos:ListParts","name/cos:UploadPart","name/cos:CompleteMultipartUpload","name/cos:AbortMultipartUpload"的集合。
示例
授予只能在 APPID 为1250000000 ，地域为 ap-beijing ，存储桶为 examplebucket-1250000000，路径前缀为 doc 下进行分块上传的操作权限，其策略详细内容如下：
{
  "version": "2.0",
  "statement": [
    {
      "action": [
        "name/cos:InitiateMultipartUpload",
        "name/cos:ListMultipartUploads",
        "name/cos:ListParts",
        "name/cos:UploadPart",
        "name/cos:CompleteMultipartUpload",
        "name/cos:AbortMultipartUpload"
      ],
      "effect": "allow",
      "resource": [
        "qcs::cos:ap-beijing:uid/1250000000:examplebucket-1250000000/doc/*"
      ]
    }
  ]
}
查询分块上传
查询存储桶中正在分块上传信息，若授予其操作权限，则策略的 action 为 name/cos:ListMultipartUploads。
示例
授予只能查询 APPID 为1250000000 ，地域为 ap-beijing  ，存储桶为 examplebucket-1250000000 中的正在分块上传信息的操作权限，其策略详细内容如下：
{
  "version": "2.0",
  "statement": [
    {
      "action": [
        "name/cos:ListMultipartUploads"
      ],
      "effect": "allow",
      "resource": [
        "qcs::cos:ap-beijing:uid/1250000000:examplebucket-1250000000/"
      ]
    }
  ]
}
表单上传对象
API 接口为 POST Object，若授予其操作权限，则策略的 action 为 name/cos:PostObject。
示例
授予只能在 APPID 为1250000000 ，地域为 ap-beijing ，存储桶为 examplebucket-1250000000，路径前缀为 doc 下进行 POST 上传的操作权限，其策略详细内容如下：
{
  "version": "2.0",
  "statement": [
    {
      "action": [
        "name/cos:PostObject"
      ],
      "effect": "allow",
      "resource": [
        "qcs::cos:ap-beijing:uid/1250000000:examplebucket-1250000000/doc/*"
      ]
    }
  ]
}
追加上传对象
API 接口为 Append Object，若授予其操作权限，则策略的 action为 name/cos:AppendObject。
示例
授予只能在 APPID 为1250000000 ，地域为 ap-beijing，存储桶为 examplebucket-1250000000，路径前缀为 doc 下进行追加上传的操作权限，其策略详细内容如下：
 {
  "version": "2.0",
  "statement": [
    {
      "action": [
        "name/cos:AppendObject"
      ],
      "effect": "allow",
      "resource": [
        "qcs::cos:ap-beijing:uid/1250000000:examplebucket-1250000000/doc/*"
      ]
    }
  ]
}
查询对象元数据
API 接口为 HEAD Object，若授予其操作权限，则策略的 action 为 name/cos:HeadObject。
示例
授予只能查询 APPID 为1250000000 ，地域为 ap-beijing ，存储桶为 examplebucket-1250000000，路径前缀为 doc 中的对象的操作权限，其策略详细内容如下：
{
  "version": "2.0",
  "statement": [
    {
      "action": [
        "name/cos:HeadObject"
      ],
      "effect": "allow",
      "resource": [
        "qcs::cos:ap-beijing:uid/1250000000:examplebucket-1250000000/doc/*"
      ]
    }
  ]
}
下载对象
API 接口为 GET Object，若授予其操作权限，则策略的 action 为 name/cos:GetObject。
示例
授予只能下载 APPID 为1250000000 ，地域为 ap-beijing，存储桶为 examplebucket-1250000000，路径前缀为 doc 中的对象的操作权限，其策略详细内容如下：
{
  "version": "2.0",
  "statement": [
    {
      "action": [
        "name/cos:GetObject"
      ],
      "effect": "allow",
      "resource": [
        "qcs::cos:ap-beijing:uid/1250000000:examplebucket-1250000000/doc/*"
      ]
    }
  ]
}
复制对象
API 接口为 Put Object Copy，若授予其操作权限，则策略的目标对象的 action 为 name/cos:PutObject，和源对象的 action 为 name/cos:GetObject。
示例
授予在 APPID 为1250000000 ，地域为 ap-beijing，存储桶为 examplebucket-1250000000 的路径前缀为 doc 和路径前缀为 doc2 间进行分块复制的操作权限，其策略详细内容如下：
{
  "version": "2.0",
  "statement": [
    {
      "action": [
        "name/cos:PutObject"
      ],
      "effect": "allow",
      "resource": [
        "qcs::cos:ap-beijing:uid/1250000000:examplebucket-1250000000/doc/*"
      ]
    },
    {
      "action": [
        "name/cos:GetObject"
      ],
      "effect": "allow",
      "resource": [
        "qcs::cos:ap-beijing:uid/1250000000:examplebucket-1250000000/doc2/*"
      ]
    }
  ]
}
其中"qcs::cos:ap-beijing:uid/1250000000:examplebucket-1250000000/doc2/*"为源对象。
复制分块
API 接口为 Upload Part - Copy，若授予其操作权限，则策略的目标对象的 action 为 action 为"name/cos:InitiateMultipartUpload","name/cos:ListMultipartUploads","name/cos:ListParts","name/cos:PutObject","name/cos:CompleteMultipartUpload","name/cos:AbortMultipartUpload"集合， 和源对象的 action 为 name/cos:GetObject。
示例
授予在 APPID 为1250000000 ，地域为 ap-beijing，存储桶为 examplebucket-1250000000 的路径前缀为 doc 和路径前缀为 doc2 间进行分块复制的操作权限，其策略详细内容如下：
{
  "version": "2.0",
  "statement": [
    {
      "action": [
        "name/cos:InitiateMultipartUpload",
        "name/cos:ListMultipartUploads",
        "name/cos:ListParts",
        "name/cos:PutObject",
        "name/cos:CompleteMultipartUpload",
        "name/cos:AbortMultipartUpload"
      ],
      "effect": "allow",
      "resource": [
        "qcs::cos:ap-beijing:uid/1250000000:examplebucket-1250000000/doc/*"
      ]
    },
    {
      "action": [
        "name/cos:GetObject"
      ],
      "effect": "allow",
      "resource": [
        "qcs::cos:ap-beijing:uid/1250000000:examplebucket-1250000000/doc2/*" 
      ]
    }
  ]
}
其中"qcs::cos:ap-beijing:uid/1250000000:examplebucket-1250000000/doc2/*"为源对象。
设置对象 ACL
API 接口为 Put Object ACL，若授予其操作权限，则策略的 action 为 name/cos:PutObjectACL 。
示例
授予只能设置 APPID 为1250000000 ，地域为 ap-beijing ，存储桶为 examplebucket-1250000000，路径前缀为 doc 中的对象 ACL 操作权限，其策略详细内容如下：
{
  "version": "2.0",
  "statement": [
    {
      "action": [
        "name/cos:PutObjectACL"
      ],
      "effect": "allow",
      "resource": [
        "qcs::cos:ap-beijing:uid/1250000000:examplebucket-1250000000/doc/*"
      ]
    }
  ]
}
查询对象 ACL
API 接口为 Get Object ACL，若授予其操作权限，则策略的 action 为 name/cos:GetObjectACL。
示例
授予只能查询 APPID 为1250000000 ，地域为 ap-beijing，存储桶为 examplebucket-1250000000，路径前缀为 doc 中的对象 ACL 操作权限，其策略详细内容如下：
{
  "version": "2.0",
  "statement": [
    {
      "action": [
        "name/cos:GetObjectACL"
      ],
      "effect": "allow",
      "resource": [
        "qcs::cos:ap-beijing:uid/1250000000:examplebucket-1250000000/doc/*"
      ]
    }
  ]
}
预请求跨域配置
API 接口为 OPTIONS Object，若授予其操作权限，则策略的 action 为 name/cos:OptionsObject。
示例
授予只能在 APPID 为1250000000 ，地域为 ap-beijing，存储桶为 examplebucket-1250000000，路径前缀为 doc 下进行 Options 请求 的操作权限，其策略详细内容如下：
{
  "version": "2.0",
  "statement": [
    {
      "action": [
        "name/cos:OptionsObject"
      ],
      "effect": "allow",
      "resource": [
        "qcs::cos:ap-beijing:uid/1250000000:examplebucket-1250000000/doc/*"
      ]
    }
  ]
}
恢复归档对象
API 接口为 Post Object Restore，若授予其操作权限，则策略的 action 为 name/cos:PostObjectRestore。
示例
授予只能在 APPID 为1250000000 ，地域为 ap-beijing，存储桶为 examplebucket-1250000000，路径前缀为 doc 下进行恢复归档的操作权限，其策略详细内容如下：
{
  "version": "2.0",
  "statement": [
    {
      "action": [
        "name/cos:PostObjectRestore"
      ],
      "effect": "allow",
      "resource": [
        "qcs::cos:ap-beijing:uid/1250000000:examplebucket-1250000000/doc/*"
      ]
    }
  ]
}
删除单个对象
API 接口为 DELETE Object，若授予其操作权限，则策略的 action 为 name/cos:DeleteObject。
示例
授予只能删除 APPID 为1250000000 ，地域为 ap-beijing ，存储桶为 examplebucket-1250000000 中的 audio.mp3 这个对象的操作权限，其策略详细内容如下：
{
  "version": "2.0",
  "statement": [
    {
      "action": [
        "name/cos:DeleteObject"
      ],
      "effect": "allow",
      "resource": [
        "qcs::cos:ap-beijing:uid/1250000000:examplebucket-1250000000/audio.mp3"
      ]
    }
  ]
}
删除多个对象
API 接口为 DELETE Multiple Objects，若授予其操作权限，则策略的action为name/cos:DeleteObject。
示例
授予只能批量删除 APPID 为1250000000 ，地域为 ap-beijing，存储桶为 examplebucket-1250000000 中的 audio.mp3 和 video.mp4 两个对象的操作权限，其策略详细内容如下：
{
  "version": "2.0",
  "statement": [
    {
      "action": [
        "name/cos:DeleteObject"
      ],
      "effect": "allow",
      "resource": [
        "qcs::cos:ap-beijing:uid/1250000000:examplebucket-1250000000/audio.mp3",
        "qcs::cos:ap-beijing:uid/1250000000:examplebucket-1250000000/video.mp4"
      ]
    }
  ]
}
常见场景授权策略
授予所有资源完全读写权限
授予所有资源完全读写权限，其策略详细内容如下：
{
  "version": "2.0",
  "statement": [
    {
      "action": [
        "*"
      ],
      "effect": "allow",
      "resource": [
        "*"
      ]
    }
  ]
}
授予所有资源只读权限
授予所有资源只读权限，其策略详细内容如下：
{
  "version": "2.0",
  "statement": [
    {
      "action": [
        "name/cos:HeadObject",
        "name/cos:GetObject",
        "name/cos:GetBucket",
        "name/cos:OptionsObject"
      ],
      "effect": "allow",
      "resource": [
        "*"
      ]
    }
  ]
}
授予指定路径前缀的读写操作
授予用户只能访问存储桶 examplebucket-1250000000 中路径前缀为 doc 下的文件，且无法操作其它路径文件的操作权限，该策略详细内容如下：
{
  "version": "2.0",
  "statement": [
    {
      "action": [
        "*"
      ],
      "effect": "allow",
      "resource": [
        "qcs::cos:ap-shanghai:uid/1250000000:examplebucket-1250000000/doc/*"
      ]
    }
  ]
}
﻿

帮助和支持

本页内容是否解决了您的问题？

您也可以联系销售或提交工单以寻求帮助。

填写满意度调查问卷，共创更好文档体验。

文档反馈

名称	描述
version	策略语法版本，默认为2.0。
effect	有 allow （允许）和 deny （显式拒绝）两种情况。
resource	授权操作的具体数据，可以是任意资源、指定路径前缀的资源、指定绝对路径的资源或它们的组合。注意：若路径为中文，则保持中文输入即可。例如`examplebucket-1250000000/文件夹/文件名.txt`。
action	此处是指 COS API，根据需求指定一个或者一序列操作的组合或所有操作(``)，例如 action 为 `name/cos:GetService`，请注意区分英文大小写*。
condition	约束条件，可以不填，具体说明请参见 condition 说明。

tencent cloud

对象存储

COS API 授权策略使用指引

概述

授权策略（policy）元素说明

Service API

查询存储桶列表

示例

Bucket API

创建存储桶

示例

检索存储桶及其权限

示例

查询对象列表

示例

删除存储桶

示例

设置存储桶 ACL

示例

查询存储桶 ACL

示例

设置跨域配置

示例

查询跨域配置

示例

删除跨域配置

示例

设置生命周期

示例

查询生命周期

示例

删除生命周期

示例

Object API

简单上传对象

示例

分块上传

示例

查询分块上传

示例

表单上传对象

示例

追加上传对象

示例

查询对象元数据

示例

下载对象

示例

复制对象

示例

复制分块

示例

设置对象 ACL

示例

查询对象 ACL

示例

预请求跨域配置

示例

恢复归档对象

示例

删除单个对象

示例

删除多个对象

示例

常见场景授权策略

授予所有资源完全读写权限

授予所有资源只读权限

授予指定路径前缀的读写操作

帮助和支持