操作场景

当前主账号 A（APPID 为1250000000）名下有存储桶examplebucket1-1250000000和examplebucket2-1250000000，另有一主账号 B 及其子账号 B0，B0 由于业务需要，希望能够操作账号 A 名下的两个存储桶，下面将为您介绍如何进行相关的授权操作。

操作步骤

授予主账号 B 操作 A 名下存储桶的权限

1. 使用主账号 A 登录 对象存储 COS 控制台。
2. 单击【存储桶列表】，找到需要授权的存储桶，单击其名称进入存储桶详情页。
3. 在左侧导航栏中，单击【权限管理】，进入该存储桶的权限管理页。
4. 找到【Policy 权限设置】配置项，单击【添加策略】，填写如下表单项：
   • 效力：允许。
   • 用户：单击添加用户，用户类型选择根账号，账号 ID 填写主账号 B 的 UIN，例如100000000002。
   • 资源：根据需要选择，默认为整个存储桶。
   • 资源路径：仅指定资源时需要填写，根据需要填写。
   • 操作：单击添加操作，选择所有操作，如仅需授权部分操作，也可以选择一个或多个实际需要的操作。
   • 条件：根据需要填写，如不需要可留空。
     
5. 单击【确定】，此时主账号 B 将拥有操作该存储桶的相关权限。
6. 如需授权其他存储桶，可重复上述步骤。

授予子账号 B0 操作 A 名下存储桶的权限

1. 使用主账号 B 登录访问管理 CAM 控制台的 策略 页面。

2. 选择【新建自定义策略】>【按策略语法创建】，随后选择空白模板，单击【下一步】。

   主账号 B 给子账号 B0 授权，只能通过自定义策略授权，不支持通过预设策略授权。

3. 填写如下表单：

   • 策略名称：自行定义一个不重复且有意义的策略名称，例如 cos-child-account。
   • 备注：可选，自行编写。
   • 策略内容：

     {
     "version": "2.0",
     "statement": [
       {
           "action": "cos:*",
           "effect": "allow",
           "resource": "qcs::cos::uid/1250000000:examplebucket1-1250000000/*"
       }
     ]
     }

     其中，uid/1250000000中的1250000000为主账号 A 的 APPID，examplebucket1-1250000000为被授权的存储桶名称。存储桶资源examplebucket1-1250000000/*，代表将所有主账号 B 有权操作的 A 名下的存储桶均授权给子账号 B0。
     

4. 单击【创建策略】，完成策略的创建。

5. 在策略列表中找到刚才已创建的策略，并单击右侧的【关联用户/组】。
   

6. 在关联用户/用户组对话框中，勾选子账号 B0，单击【确定】。
   

7. 完成授权操作，即可使用子账号 B0 的密钥，测试操作 A 名下的存储桶。