存储桶策略示例

最后更新时间:2019-12-25 17:52:02

    添加存储桶策略时,请务必根据业务需要,按照最小权限原则进行授权。如果您直接授予其他用户所有资源(resource:*),或者所有操作(action:*)权限,则存在由于权限范围过大导致数据安全风险。

    概述

    本文将介绍限制子网、委托人和 VPC ID 的存储桶策略示例。您可以使用该存储桶策略,控制对存储桶及其数据的特定访问。有关访问策略语言的更多信息,请参见 访问策略语言概述

    • 使用对象存储控制台配置存储桶策略时,您需要授予用户拥有存储桶的相关权限,例如获取存储桶位置和列出存储桶权限。
    • 存储桶策略的大小限制为20KB。

    示例 1:限制来自子网 10.1.1.0/24 网段 和 vpcid 为 aqp5jrc1 的请求

    语法示例如下:

    {
      "Statement": [
        {
          "Action": [
            "name/cos:*"
          ],
          "Condition": {
            "ip_equal": {
              "qcs:ip": [
                "10.1.1.0/24"
              ]
            },
            "string_equal": {
              "vpc:requester_vpc": [
                "vpc-aqp5jrc1"
              ]
            }
          },
          "Effect": "deny",
          "Principal": {
            "qcs": [
              "qcs::cam::anyone:anyone"
            ]
          },
          "Resource": [
            "qcs::cos:ap-guangzhou:uid/1250000000:examplebucket-1250000000/*"
          ]
        }
      ],
      "version": "2.0"
    }

    示例 2:限制 vpcid 为 aqp5jrc1 、特定委托人和特定存储桶的请求

    语法示例如下:

    {
      "Statement": [
        {
          "Action": [
            "name/cos:*"
          ],
          "Condition": {
            "string_equal": {
              "vpc:requester_vpc": [
                "vpc-aqp5jrc1"
              ]
            }
          },
          "Effect": "allow",
          "Principal": {
            "qcs": [
              "qcs::cam::uin/100000000001:uin/100000000002"
            ]
          },
          "Resource": [
            "qcs::cos:ap-beijing:uid/1250000000:examplebucket-1250000000/*"
          ]
        }
      ],
      "version": "2.0"
    }

    Was this page helpful?

    本页内容是否解决了您的问题?

    • 完全没帮助
    • 文档较差
    • 文档一般
    • 文档不错
    • 文档很好
    反馈
    帮助