cos实践权限管控篇--子用户权限分配

限制子用户访问指定存储桶

场景： 用户需要一个账号下创建不同部门的存储桶（bucket），不同部门之间数据不共享，无法跨部分查看存储桶内容。

实现： 利用cam权限管理实现

例子：

策略： { "version": "2.0", "statement": { "effect": "allow", "action": "cos:*", "resource": "qcs::cos:ap-beijing:uid/1253792666:prefix//1253792666/typecho/" } }

解读：

"effect": "allow"（允许）       "action": "cos:*"（cos下所有操作）
"resource": "qcs::cos:ap-beijing:uid/1253792666:prefix//1253792666/typecho/*"（ap-beijing 对应地域 uid/appid：prefix//appid/bucketname/*）

关联该策略的该用户 允许对bucket下所有文件执行所有操作

测试：

1、关联策略

关联所写策略

2、协作者（康康）登录：

协作者登录

3、添加访问路径

添加访问路径

4、测试读写

写入：

读：

5、绑定一个其他存储桶，测试读写

写入失败：

下载文件正常（因为该bucket是公有读，所有无法限制用户的读操作）：

PS：修改策略语法进行对应权限的放开和授权

策略：

{

"version": "2.0",

"statement": {

"effect": "allow",

"action": "cos:*",

"resource": "qcs::cos:region:uid/appid:prefix//appid/bucketname/"

}

}