存储空间权限分离

如果客户有两个部门，分别为研发部门和运维部门，客户在KS3已经创建了两个存储空间，rd_bucket和op_bucket,分别存放研发数据和运维数据，要求研发部门只能访问rd_bucket，运维部门只能访问op_bucket。
这时就需要创建两个子用户rd_user和op_user，分别授予rd_bucket和op_bucket的权限。具体的操作步骤如下：

1. 进入控制台，点击左侧导航栏下方的访问控制，再点击左侧导航栏的人员管理>子用户 ，进入子用户界面，创建rd_user和op_user，并生成对应的AKSK。

2. 进入控制台，点击左侧导航栏下方的访问控制，再点击左侧导航栏的权限管理>策略 ，进入策略管理界面。

3. 由于系统权限没有按照bucket粒度的权限，点击 自定义策略 标签页，点击新建策略 按钮，在设置策略类型中选择策略语法 ，在选择策略模板中选择复制系统模板，选择KS3FullAccess 模板，输入策略名称“rdfullaccess”,修改策略语言如下：

{
    "Version": "2015-11-01",
    "Statement": [
    {
        "Effect": "Allow",
        "Action": "ks3:ListBuckets",
        "Resource": "*"
    },   
    {
        "Effect": "Allow",
        "Action": "ks3:*",
        "Resource":[
            "krn:ksc:ks3:::rd_bucket",
            "krn:ksc:ks3:::rd_bucket/*"
        ]
     }
   ]
}

4. 同样，创建新策略“opfullaccess”。

{
    "Version": "2015-11-01",
    "Statement": [
    {
        "Effect": "Allow",
        "Action": "ks3:ListBuckets",
        "Resource": "*"
    },   
    {
        "Effect": "Allow",
        "Action": "ks3:*",
        "Resource":[
            "krn:ksc:ks3:::op_bucket",
            "krn:ksc:ks3:::op_bucket/*"
        ]
     }
   ]
}

5. 返回用户管理界面，给rd_user和op_user分别赋予rdfullaccess和opfullaccess策略。