简介
说明
本文档主要介绍如何在标签体系下,利用标签及标签鉴权管理项目资源,适用于部分老用户在历史版本控制台上使用过项目,并通过项目鉴权方式授予子账号访问权限。
对象存储(Cloud Object Storage,COS)在历史版本控制台上基于项目为用户提供了相关权限管理操作,然而项目策略包含对添加至项目的所有产品下所有资源的完全访问权限,不仅无法满足多维度的标记和归类需求,也无法进行精细化的权限管理。在新版本 COS 控制台,COS 仅支持基于标签的方式进行项目资源的权限管理。
COS 利用标签服务对原项目功能进行了兼容。在标签服务的体系下,项目是特殊的标签,它的标签键为 project。您依然可以在项目控制台,新建项目并在项目下创建存储桶,COS 会在您创建存储桶时将存储桶的项目归属关系自动双写一份到标签中,以便进行控制台的展示。
说明
如果您有分类管理存储桶的需求,我们推荐您直接通过标签管理您的存储桶,实现权限控制和分账等任务,而不是通过项目的途径进行管理。有关如何在控制台上增加标签,请参见 设置存储桶标签。 了解项目请参见 CAM 的 项目与标签,如需了解标签服务,请参见 标签 产品文档。 授予子账号拥有项目的访问权限
授予子账号拥有项目的访问权限,您可以按照以下步骤进行操作:
1. 登录 项目管理控制台,新建一个项目,自定义项目名称并提交,然后选择在该项目下创建一个存储桶或者云服务器等资源。
如果您已有项目,且项目已有归属的存储或计算资源,可跳过这一步。 2. 创建完项目并绑定好相应资源后,进入 策略管理 页面,单击新建自定义策略 > 按标签授权,选择添加对象存储服务和授权的操作权限,选择相应的项目标签,授予子账号访问该项目标签下的所有资源。 3. 单击下一步,选择将此权限授权给用户/用户组/角色,最后单击完成即可。
说明
默认策略内容为授予子账号访问该项目标签下的所有资源。如果您只希望用户仅能对标签下的部分资源进行指定操作,您可以参见 语法结构 文档,修改策略语法中的 action(设置指定操作)和 resource(设定可操作资源)。 如果您希望子账号能够创建存储桶,则还需要为子账号授予 PUT Bucket 的操作权限。您可以在 策略管理 页面单击新建自定义策略 > 按策略生成器创建,授权子账号相应的权限。