授权子账号对指定COS桶的访问权限

原创

v_vhaohu

发布于 2024-11-19 15:02:40

1290

文章被收录于专栏：访问管理CAM访问管理CAM

使用场景：希望限制所有子账号只对一个桶有只读权限。（其中部分子账号已经有cosfullaccess权限）在不修改原有授权体系下增加新授权实现客户要求。

场景一：针对原始需求所需要的授权模板

1、使用策略生成器创建的方式

因为是对指定资源的只读权限可以使用颗粒度到资源级的指定资源授权方式

使用策略生成器创建，搜索选择COS服务。

需要只读权限，勾选全部读操作列表，只选择资源级操作权限。

指定到桶资源，选择添加资源六段式，只需要将需要授权的桶名称复制填写在资源前缀，如需要指定到桶内具体对象，可将对象信息复制替换资源中的*

因为查看桶信息前需要前置有能看到桶列表的权限，还需要额外添加拉取桶列表权限GetService，因为该操作是操作级授权，不能指定资源，资源选择全部资源授权。

2、如通过API接口访问，编写完成优化策略模板如下：

{
    "statement": [
        {
            "action": [
                "cos:List*",//列表权限，*代表包含list全部接口都支持
                "cos:Get*",//get*包含了大部分只读接口
                "cos:Head*",//head*部分读操作，用于判断对象是否存在，存在时返回资源信息
                "cos:OptionsObject"//跨域资源的访问权限
            ],
            "effect": "allow",
            "resource": "qcs::cos::uid/1307118813:bll-1307118813/*"//指定到桶名称的资源六段式描述方式使用时需要将uid/****以及后桶名称替换为自己账号及桶的信息
        }
    ],
    "version": "2.0"
}

无注释版本：

{
    "statement": [
        {
            "action": [
                "cos:List*",
                "cos:Get*",
                "cos:Head*",
                "cos:OptionsObject"
            ],
            "effect": "allow",
            "resource": "qcs::cos::uid/1307118813:bll-1307118813/*"
        }
    ],
    "version": "2.0"
}

场景二，针对已有子账号拥有COSFullAccess权限，不变更当前权限限制对指定COS桶访问权限，实现针对固定cos桶的访问权限

如果是按照场景一策略描述继续授予指定桶的访问权限，则因为有全读写权限覆盖，指定资源授权不生效。需要单独拒绝客户目标访问桶之外的资源访问权限。

因此需要再补充授权拒绝策略

● 策略模板如下（其中bucket名称可替换为自己的桶名称）：

{
    "statement": [
        {
            "action": [
                "cos:*"
            ],
            "effect": "deny",
            "resource": [
                "qcs::cos::uid/1307118813:policy-1307118813/*",
                "qcs::cos::uid/1307118813:policy-1307118814/*"
            ]
        }
    ],
    "version": "2.0"
}

原创声明：本文系作者授权腾讯云开发者社区发表，未经许可，不得转载。

如有侵权，请联系 cloudcommunity@tencent.com 删除。

访问管理