授权给不同的子用户访问不同的存储空间

最近更新时间:2019-01-14 10:10:54

如果客户有两个部门,分别为研发部门和运维部门,客户在KS3已经创建了两个存储空间,rd_bucket和op_bucket,分别存放研发数据和运维数据,要求研发部门只能访问rd_bucket,运维部门只能访问op_bucket。 这时就需要创建两个子用户rd_user和op_user,为每个用户编写策略,然后分别附加到用户上。例如, 可以将以下策略附加到用户rd_user。

{
    "Version": "2015-11-01",
    "Statement": [
    {
        "Effect": "Allow",
        "Action": "ks3:*",
        "Resource":[
            "krn:ksc:ks3:::rd_bucket",
            "krn:ksc:ks3:::rd_bucket/*"
        ]
     }
   ]
}

同理,为op_user附加以下的权限:

{
    "Version": "2015-11-01",
    "Statement": [
    {
        "Effect": "Allow",
        "Action": "ks3:*",
        "Resource":[
            "krn:ksc:ks3:::op_bucket",
            "krn:ksc:ks3:::op_bucket/*"
        ]
     }
   ]
}

如果需要子用户需要登录KS3控制台,需要看到存储空间(Bucket)列表,那么还得需要给子用户授权ListBuckets权限。

{
    "Version": "2015-11-01",
    "Statement": [
     {
         "Effect": "Allow",
         "Action": "ks3:ListBuckets",
         "Resource": "*"
     }
    ]
}

金山云,开启您的云计算之旅

立即注册