- 动态与公告
- 产品简介
- 购买指南
- 快速入门
- 控制台指南
- 工具指南
- 最佳实践
- 开发者指南
- 数据湖存储
- 数据处理
- 故障处理
- API 文档
- 简介
- 公共请求头部
- 公共响应头部
- 错误码
- 请求签名
- 操作列表
- Service 接口
- Bucket 接口
- Object 接口
- 批量处理接口
- 数据处理接口
- 任务与工作流
- 内容审核接口
- 云查毒接口
- SDK 文档
- SDK 概览
- 准备工作
- Android SDK
- C SDK
- C++ SDK
- .NET(C#) SDK
- Flutter SDK
- Go SDK
- iOS SDK
- Java SDK
- JavaScript SDK
- Node.js SDK
- PHP SDK
- Python SDK
- React Native SDK
- Mini Program SDK
- 错误码
- 常见问题
- 服务等级协议
- 附录
- 词汇表
- 动态与公告
- 产品简介
- 购买指南
- 快速入门
- 控制台指南
- 工具指南
- 最佳实践
- 开发者指南
- 数据湖存储
- 数据处理
- 故障处理
- API 文档
- 简介
- 公共请求头部
- 公共响应头部
- 错误码
- 请求签名
- 操作列表
- Service 接口
- Bucket 接口
- Object 接口
- 批量处理接口
- 数据处理接口
- 任务与工作流
- 内容审核接口
- 云查毒接口
- SDK 文档
- SDK 概览
- 准备工作
- Android SDK
- C SDK
- C++ SDK
- .NET(C#) SDK
- Flutter SDK
- Go SDK
- iOS SDK
- Java SDK
- JavaScript SDK
- Node.js SDK
- PHP SDK
- Python SDK
- React Native SDK
- Mini Program SDK
- 错误码
- 常见问题
- 服务等级协议
- 附录
- 词汇表
简介
您可以通过对象存储(Cloud Object Storage,COS)控制台,为存储桶添加策略,以允许或禁止某个账号、某个来源 IP(或 IP 段)访问策略所设定的 COS 资源。关于存储桶策略概述和策略示例的相关信息,请参见 访问策略语言概述 和 存储桶策略示例。下面将为您详细介绍如何添加存储桶策略。
注意
每个主账号,创建的存储桶 ACL 规则数量最多为1000条。
前提条件
操作步骤
1. 登录 对象存储控制台。
2. 在左侧导航栏中,单击存储桶列表,进入存储桶列表页面。
3. 找到您需要添加存储桶策略的存储桶,单击其名称,进入存储桶配置页面。
4. 在左侧导航栏中,单击权限管理 > Policy 权限设置,COS 提供添加存储桶策略的方式为如下,您可以选其中一种方式添加存储桶策略,关于配置项的更多说明,请参见 访问策略语言概述。
在图形设置版块,单击添加策略,在弹窗中进行策略配置。操作步骤如下:
(1)选择模板
通过选择不同的被授权用户、资源范围组合,COS 为您提供了多种策略模板,帮助您快速配置存储桶策略。
被授权用户
所有用户(可匿名访问):当您希望为匿名用户开放操作权限时,可以选择此项,在第二步配置策略时会为您自动添加所有用户,表示为
*。由于将列出对象列表(ListBucket)、存储桶配置权限等操作开放给匿名用户风险较高,选择本项时 COS 没有提供相应模板,如您有需要可以在后续“配置策略”步骤自行添加。指定用户:当您希望为指定子账户、主账户或云服务开放操作权限时,可以选择指定用户。在第二步配置策略,您需要进一步指定具体的账户 UIN。
说明:
当被授权用户为指定账号,请求对象时需携带签名用于身份验证,关于签名说明,请参见 请求签名。
当被授权用户指定为所有用户,请求对象时无需携带签名,所有用户可直接通过链接访问对象,您的数据会存在泄露风险,请谨慎设置。
资源范围
整个存储桶:当您希望配置存储桶配置相关的权限,或者将资源范围指定为整个存储桶,可以选择此项,在第二步配置策略时会为您自动添加整个存储桶为资源。
指定目录:当您希望将资源范围限定到指定文件夹,可以选择此项。在第二步配置策略,您需要进一步指定具体的目录。选择本项时,COS 不会提供存储桶配置相关的策略模板,因为这类权限必须指定资源为整个存储桶。
模板:您希望授权的操作集合。
自定义策略(不提供预设配置):如您不需要使用模板,可选择此项,在第二步“配置策略”中根据您的需要自行添加策略。
其他模板:根据您选择的被授权用户和资源范围的不同组合,COS 为您提供不同的推荐模板。勾选相应的模板后,在第二步配置策略中,COS 会为您自动添加相应的操作。
说明: 模板提供的授权操作不符合您的需要,您可以在第二步"配置策略"中添加或删除授权操作。
模板说明请参见下表:
被授权用户 | 资源范围 | 策略模板 | 说明 |
所有组合 | | 自定义策略 | 对于任意被授权用户、资源范围组合,选择此模板不提供任何预设策略,您可以直接在第二步配置策略中自行添加策略。 |
所有用户(可匿名访问) | 整个存储桶 | 只读对象(不含列出对象列表) | 对于匿名用户,COS 为您提供读文件(例如下载)、写文件(例如上传、修改)的推荐模板。COS 推荐模板不包括列出您存储桶内的所有对象、和读写权限、存储桶配置等其他敏感权限,避免开放其他多余权限提高数据安全。如您有需要,可以在后续步骤自行添加、删除动作权限。 |
| | | 读写对象(不含列出对象列表) |
| | 指定目录 | 只读对象(不含列出对象列表) |
| | | 读写对象(不含列出对象列表) |
指定用户 | 整个存储桶 | 只读对象(不含列出对象列表) | 对于指定用户和整个存储桶组合,COS 提供了最多的推荐模板。除了读、写文件和列出文件,COS 还包括以下敏感权限模板,适用于给受信任的用户使用:读写存储桶与对象 ACL:获取、修改存储桶 ACL、对象 ACL。包括 GetObjectACL、PutObjectACL、GetBucketACL、PutBucketACL。 存储桶一般配置项:存储桶标签、跨域、回源等非敏感权限。存储桶敏感配置项:涉及存储桶策略、存储桶 ACL、删除存储桶等敏感权限,需要谨慎使用。 |
| | | 只读对象(含列出对象列表) |
| | | 读写对象(不含列出对象列表) |
| | | 读写对象(含列出对象列表) |
| | | 读写存储桶与对象 ACL |
| | | 存储桶一般配置项 |
| | | 存储桶敏感配置项 |
| 指定目录 | 只读对象(不含列出对象列表) | 对于指定用户和指定目录组合,COS 除了读文件(例如,下载)、写文件(例如上传、修改)之外,还提供了包含列出对象列表的权限的推荐模板。当您需要为指定用户开放指定文件夹的读、写、列出文件的权限时,推荐选择此组合。如您有需要,可以在后续步骤自行添加、删除动作权限。 |
| | | 只读对象(含列出对象列表) |
| | | 读写对象(不含列出对象列表) |
| | | 读写对象(含列出对象列表) |
(2)配置策略
针对您在第一步选择的被授权用户、指定目录和模板组合,COS 为您在配置策略中自动添加了对应的操作、被授权用户、资源等。其中,当您选择指定用户、指定目录时,需要在配置策略时指定具体的用户 UIN 和目录。
当 COS 提供的推荐模板不符合您的需要时,您也可以在这一步对策略内容进行调整,添加、删除被授权用户、资源和操作。配置项说明如下:
效力:支持选择“允许”或“拒绝”,对应策略语法中的“allow”和“deny”。
用户:支持添加、删除被授权用户,包括所有用户(
*)、主账户、子账户和云服务。资源:支持添加整个存储桶或指定目录资源。
操作:添加、删除您需要授权的操作。
条件:授予权限时指定条件,例如限制用户来访 IP。
(3)确认配置信息
确认配置信息无误后,单击完成即可。此时使用子账号登录 COS 控制台,将只能访问策略所设定的资源范围。
(1)单击编辑,输入您所定义的策略语法。COS 提供了多种场景的策略语法,详情请参见 COS API 授权策略使用指引。
(2)确认策略语法无误后,单击保存即可。此时使用子账号登录 COS 控制台,将只能访问策略所设定的资源范围。
是
否
本页内容是否解决了您的问题?