资源隔离

<p class="shortdesc"></p> <p class="p">如果您希望让不同的角色,访问不同的资源Bucket,可以通过如下方式实现。 首先需要在主账户下创建不同的子账户,然后创建多个用于资源隔离的Bucket,例如,按照业务类型、子公司区分存储空间。最后给某个子账户授权对应的Bucket的权限。</p> <p class="p">企业日常有大量工作文件需要存档,但并不希望花费大量的人力、物力在存储资源上。因此该企业可以开通OBS服务,用于存储日常工作文件,并为不同职能部门的员工设置不同的访问权限,以此达到不同部门人员访问公司数据的权限隔离。</p> <p class="p">例如,一家企业的管理员拥有一个RAM主账号,并且使用RAM主账号创建了3个Bucket:Bucket1、Bucket2、Bucket3,分别存放A、B、C三个业务部门的文件和数据。为了便于不同部门的资源管理员查看或操作这些文件,在主账号下创建了3个子账号:子账号A、子账号B、子账号C,并且授予子账号A访问Bucket1,子账号B访问Bucket2,子账号C访问Bucket3。这样,被授权的资源管理员就可以使用子账号登录OBS控制台,并且只能查看或操作相关权限的文件和数据了。</p> <p class="p">这里的授权策略需要通过RAM自定义策略进行更细粒度的用户授权。</p> <p class="p">例如,如果希望某个子帐户A访问Bucket1中的文件(访问的含义是:可以对Bucket1进行管理和对Bucket1里的文件进行读写删除等操作),那么先创建的自定义策略,然后把策略授权给子账户A,自定义策略如下:</p> <pre class="pre codeblock"><code>{ "Statement":[ { "Resource":[ "pcs:obs:*:<Tenant-id>:bucket/<Bucket1-id>" ], "Action":[ "obs:*", "payment:ListQueryBalanceForOrder", "payment:ListAvailableCoupons", "payment:ListActivate" ], "Effect":"Allow" } ], </code></pre>
Did the above content solve your problem? Yes No
Please complete information!

Call us

400-151-8800

Email us

cloud@pingan.com

Online customer service

Instant reply

Technical Support

cloud products