最近更新时间:2021-05-21 14:55:03
如果客户有两个部门,分别为研发部门和运维部门,客户在KS3已经创建了两个存储空间,rd_bucket和op_bucket,分别存放研发数据和运维数据,要求研发部门只能访问rd_bucket,运维部门只能访问op_bucket。
这时就需要创建两个子用户rd_user和op_user,分别授予rd_bucket和op_bucket的权限。具体的操作步骤如下:
进入控制台,点击左侧导航栏下方的访问控制,再点击左侧导航栏的人员管理>子用户 ,进入子用户界面,创建rd_user和op_user,并生成对应的AKSK。
进入控制台,点击左侧导航栏下方的访问控制,再点击左侧导航栏的权限管理>策略 ,进入策略管理界面。
由于系统权限没有按照bucket粒度的权限,点击 自定义策略 标签页,点击新建策略 按钮,在设置策略类型中选择策略语法 ,在选择策略模板中选择复制系统模板,选择KS3FullAccess 模板,输入策略名称“rdfullaccess”,修改策略语言如下:
{
"Version": "2015-11-01",
"Statement": [
{
"Effect": "Allow",
"Action": "ks3:ListBuckets",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "ks3:*",
"Resource":[
"krn:ksc:ks3:::rd_bucket",
"krn:ksc:ks3:::rd_bucket/*"
]
}
]
}
{
"Version": "2015-11-01",
"Statement": [
{
"Effect": "Allow",
"Action": "ks3:ListBuckets",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "ks3:*",
"Resource":[
"krn:ksc:ks3:::op_bucket",
"krn:ksc:ks3:::op_bucket/*"
]
}
]
}
纯净模式