最近更新时间:2019-01-14 10:10:54
如果客户有两个部门,分别为研发部门和运维部门,客户在KS3已经创建了两个存储空间,rd_bucket和op_bucket,分别存放研发数据和运维数据,要求研发部门只能访问rd_bucket,运维部门只能访问op_bucket。 这时就需要创建两个子用户rd_user和op_user,为每个用户编写策略,然后分别附加到用户上。例如,
可以将以下策略附加到用户rd_user。
{
"Version": "2015-11-01",
"Statement": [
{
"Effect": "Allow",
"Action": "ks3:*",
"Resource":[
"krn:ksc:ks3:::rd_bucket",
"krn:ksc:ks3:::rd_bucket/*"
]
}
]
}
同理,为op_user附加以下的权限:
{
"Version": "2015-11-01",
"Statement": [
{
"Effect": "Allow",
"Action": "ks3:*",
"Resource":[
"krn:ksc:ks3:::op_bucket",
"krn:ksc:ks3:::op_bucket/*"
]
}
]
}
如果需要子用户需要登录KS3控制台,需要看到存储空间(Bucket)列表,那么还得需要给子用户授权ListBuckets权限。
{
"Version": "2015-11-01",
"Statement": [
{
"Effect": "Allow",
"Action": "ks3:ListBuckets",
"Resource": "*"
}
]
}
纯净模式