对象存储cos如何禁止一切外部读写

场景：在下线cos某个桶之前，希望将一个cos禁止一切外部读写，期望通过这种方式发现即将下线的cos在静默期是否还有在用，同时确保有回滚恢复的能力即可，需要做哪些设置操作可以达到这是诉求，这里给大家整理下。

1. 设置存储桶Policy权限通过配置对应策略禁止掉

https://cloud.tencent.com/document/product/436/12514

①需要用Policy3.0实现，先添加策略，拒绝整个桶的所有用户的所有操作，然后修改JSON，将"version": "2.0"改为3.0保存，如图：

图1

②注意风险：已配置拒绝所有用户访问整个存储桶(所有操作)，并且未配置条件，配置后，除主账号外的所

有用户将无法访问存储桶，请谨慎操作。

图2

• 临时链接问题：设置存储桶权限为私有读写，policy拒绝整个桶的所有用户的所有操作后临时链接所有人都是可以访问的，无法完全禁止

注意：确保业务上不涉及使用主账号的临时链接访问；如果有主账号临时链接，要一并观察看下后续请求量，状态码变化，如果2XX明显少量，说明影响到一些链接了。如果没有跌到0，说明还有一些请求，可能是主账号发起的。

回滚恢复：主账号policy策略配置改成Policy2.0，去掉拒绝所有，就恢复成之前的了（图1中的①中进行修改即可）。

2、使用CAM策略拒绝

CAM上只能配置deny 具体桶操作。对于用户，然后依次绑定所有用户/组。

图3

注意：设置存储桶访问权限（私有读写），存储桶创建者和对应授权的账号以及主账号都可以访问，不符合

https://cloud.tencent.com/document/product/436/13315

私有读写只有该存储桶的创建者及有授权的账号才对该存储桶中的对象有读写权限，其他任何人对该存储桶中的对象都没有读写权限。存储桶访问权限默认为私有读写，推荐使用。