数据万象(Cloud Infinite,CI)提供数据处理服务,其存储功能基于对象存储(Cloud Object Storage,COS)。因此子账号接入数据万象服务必须同时配置 CI 读写权限和 COS 相关读写权限。
授予子账号拥有数据万象的操作权限分为三个步骤:*创建子账号并配置 CI 权限、对子账号授予权限、使用子账号进行数据处理*。
注意
子账号访问数据万象控制台进行相关查看或更改配置操作时,需授权相应权限,具体如下表:
操作类型 | 权限内容 |
创建 Bucket | 对应 COS 存储桶的 cos:PutBucket 权限 |
解绑 Bucket | 对应 COS 存储桶的 cos:DeleteBucket 权限 |
查看功能配置 | 对应 COS 存储桶的 cos:GetBucket 权限 |
更改功能配置 | 对应 COS 存储桶的 cos:PutObject 权限 |
步骤1:创建子账号并配置 CI 权限
在访问管理(Cloud Access Management,CAM)控制台可创建子账号,并配置授予子账号的访问权限。具体操作如下所示:
1. 登录 CAM 控制台,选择左侧菜单栏用户 > 用户列表。
2. 进入用户列表页面,单击新建用户。
3. 在新建用户页面,单击自定义创建,进入选择用户类型页面。
4. 在选择用户类型页面,选择可访问资源并接收消息 > 下一步,进入填写用户信息页面。
5. 填写用户信息。在此过程中,可批量创建子用户,设置访问类型和控制台的登录密码等,如下图所示。
6. 单击下一步,进入设置用户权限步骤。选择从策略列表中选取策略关联页签,在策略列表中选择 CI 全读写权限 QcloudCIFullAccess,单击下一步。
7. 确认输入的信息无误后,单击完成即可创建子账号。
步骤2:对子账号授予权限
对子账号授予 COS资源权限和CI资源权限,可通过直接关联预设策略的方式:
1. 登录 CAM 控制台,选择左侧菜单栏用户 > 用户列表。
2. 进入用户列表页面,找到需要授权关联策略的子用户,单击账号右侧的授权。
3. 为子账号配置数据万象的操作权限时,必须同时开通 COS 资源读写权限和 CI 资源读写权限。在列表中勾选需要授权的策略,然后单击确定,即可完成为子用户授权关联策略操作。如下图所示:
也可通过编写自定义策略对子账户授权,具体可参见 授权管理 文档和策略示例。步骤3:使用子账号进行数据处理
当使用子账号进行数据处理时,需要使用主账号的 APPID,子账号的 SecretId 和 SecretKey。
1. 使用主账号登录 CAM 控制台,选择左侧菜单栏用户 > 用户列表。
2. 进入用户列表页面,单击需要查看 SecretId 和 SecretKey 的子账号名称,进入用户详情页。
3. 单击 API 密钥页签,即可在此获取 SecretId 和 SecretKey,如下图所示:
也可通过授予子账户 CAM 读取权限,使用子账号登录访问控制台查看 API 密钥信息。