本文介绍如何授权子账号在阿里云OSS控制台仅对特定Bucket设置图片样式,避免全权限访问。通过创建RAM Policy,限制子账号对指定Bucket的Get, Put, List等操作以及图片样式API的创建、查看、删除权限。"
124197376,9938315,Gin框架安装指南:Windows与Ubuntu环境,"['golang', 'web开发', '框架', 'gin', 'vscode']
1.引子:如何授权子账号在控制台针对指定的Bucket设置图片样式呢?
【使用场景】:某企业内部有众多Bucket,并且不同的Bucket分别指定了Bucket的管理员。目前Bucket A的管理员期望能够针对Bucket A中的图片通过设置图片样式的方式进行通过管理。
目前可以通过授权子账号“AliyunOSSFullAccess”权限的方式在控制台进行图片样式设置。但是赋予子账号“AliyunOSSFullAccess”后,子账号的操作权限过大。该账号能够操作管理所有的Bucket。在企业的实际使用过程中,每个Bucket都是由明确的使用用途,基本不可能授予每个子账号管理所有Bucket的权限。
因此,我们考虑是不是可以通过RAM Policy的方式针对指定的子账号授予指定Bucket的操作管理权限。从而达到如上的预期?
2.配置操作
2.1准备工作:
创建1个子账号;(示例中子账号tmp-user)
创建1个Bucket;(示例中Bucket名称test-beijing-2019)
创建RAM Policy;(示例中的RAM Policy名称 BucketStylePolicy)
2.2 创建RAM Policy:
Get Object以及List Objects相关授权;
图片样式处理相关授权;
其中图片样式相关API操作如下.PS:详细图片样式相关API操作:图片样式API接口
Put Style //创建图片样式
List Style //获取某个Bucket下所有图片样式信息
Get Style //获取某个样式(Style)的属性信息,包括样式名称、内容,以及创建和最后修改时间
Delete Style //删除某个图片样式
如下是授予子账号创建、修改、删除图片样式的相关RAM Policy授权:
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"oss:GetObject",
"oss:PutObject",
"oss:GetObjectAcl",
"oss:PutObjectAcl",
"oss:ListObjects",
"oss:GetBucketAcl",
"oss:Putstyle",
"oss:Liststyle",
"oss:Getstyle",
"oss:Deletestyle"
],
"Resource": [
"acs:oss:*:*:test-beijing-2019",
"acs:oss:*:*:test-beijing-2019/*"
],
"Condition": {}
}
]
}
2.3子账号登录控制台进行验证:
1.使用子账号(tmp-user)登录控制台,并且创建style:
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
