访问策略对比

最近更新时间:2019-01-14 10:10:54

不同的访问策略对比

ACL 空间策略(Bucket Policy) 用户策略(User Policy)
策略类型 基于资源的策略 基于资源的策略 基于用户的策略
可支持的资源操作 较少,只支持简单的读写操作 较多,但不支持service操作,如不支持查询bucket列表 最多,支持service操作,如:ks3:ListBuckets(查询bucket列表)
是否支持授权给其它账户(账号) 支持 支持 不支持,但可通过创建角色,选择授信账户来实现跨账户的授权
是否支持授权给IAM子用户 不支持 支持 支持
是否支持授权给角色 不支持 支持 支持

使用不同访问策略的准则

1、建议使用ACL的场景

  • 如果不需要实现复杂的授权逻辑,只是简单的设置存储空间(Bucket)和文件(Object)公开还是私密,建议使用ACL;

2、 建议使用Bucket Policy的场景

  • 如果想方便的将资源细粒度的授权给其它账户,实现跨账号访问,推荐使用存储空间策略(Bucket Pollicy)

  • 如果想将资源细粒度的授权给IAM子用户,IAM子用户不需要登录控制台,可以使用存储空间策略(Bucket Policy)

3、建议使用User Policy的场景

  • 如果想将资源授权给主账户下不同的IAM子用户,IAM子用户需要登录控制台,需要使用用户策略(User Policy)

  • 如果希望让IAM子用户扮演角色,使用临时权限,需要使用用户策略(User Policy)

金山云,开启您的云计算之旅

立即注册