授予其他主帐号下的子帐号操作名下存储桶的权限

最近更新时间: 2024-10-17 17:10:00

操作场景

当前主账号 A(APPID 为1250000000)名下有存储桶examplebucket1-1250000000examplebucket2-1250000000,另有一主账号 B 及其子账号 B0,B0 由于业务需要,希望能够操作账号 A 名下的两个存储桶,下面将为您介绍如何进行相关的授权操作。

操作步骤

授予主账号 B 操作 A 名下存储桶的权限

  1. 使用主账号 A 登录 对象存储 COS 控制台。

  2. 单击【存储桶列表】,找到需要授权的存储桶,单击其名称进入存储桶详情页。

  3. 单击【权限管理】页签,切换到权限管理页面。

  4. 找到【Policy 权限设置】配置项,单击【添加策略】,填写如下表单项:

    • 效力:允许。

    • 用户:单击添加用户,用户类型选择根账号,账号 ID 填写主账号 B 的 UIN,例如100000000002。

    • 资源:根据需要选择,默认为整个存储桶。

    • 资源路径:仅指定资源时需要填写,根据需要填写。

    • 操作:单击添加操作,选择所有操作,如仅需授权部分操作,也可以选择一个或多个实际需要的操作。

    • 条件:根据需要填写,如不需要可留空。

  5. 单击【确定】,此时主账号 B 将拥有操作该存储桶的相关权限。

  6. 如需授权其他存储桶,可重复上述步骤。

授予子账号 B0 操作 A 名下存储桶的权限

  1. 使用主账号 B 登录访问管理 CAM 控制台的 策略管理 页面。

  2. 选择【新建自定义策略】>【按策略语法创建】,随后选择空白模板,单击【下一步】。

  3. 填写如下表单:

    • 策略名称:自行定义一个不重复且有意义的策略名称,例如 cos-child-account。

    • 备注:可选,自行编写。

    • 编辑策略内容

      {
          "version": "2.0",
          "statement": [
              {
                  "action": "cos:*",
                  "effect": "allow",
                  "resource": "qcs::cos::uid/1250000000:examplebucket1-1250000000/*"
              }
          ]
      }

      其中,uid/1250000000中的1250000000为主账号 A 的 uid,examplebucket1-1250000000为被授权的存储桶名称。存储桶资源examplebucket1-1250000000/*也可以直接使用*,代表将所有主账号 B 有权操作的 A 名下的存储桶均授权给子账号 B0。

  4. 单击【创建策略】,完成策略的创建。

  5. 在策略列表中找到刚才已创建的策略,并单击右侧的【关联用户/组】。

  6. 关联用户/用户组对话框中,勾选子账号 B0,单击【确定】。

  7. 完成授权操作,即可使用子账号 B0 的密钥,测试操作 A 名下的存储桶。