跨帐号访问COS资源

日常工作中，经常会存在跨帐号访问COS资源的场景，例如两个主体公司，甲方和乙方，资源归属甲方，但需要乙方进行软件开发和部署，所以甲方需要授权给乙方一定的资源访问和访问管理权限。下面就介绍一下，如果跨账号来访问COS资源，并实现精细化管理。

整体的授权示意图如下：

跨帐号资源访问

下面实践开始，假设

甲方主帐号

UIN：10000****231

APPID：125****742

甲方子帐号

Asubuser

UIN：10001****462

乙方主帐号

UIN：10000****930

APPID: 125****344

乙方子帐号

Bsubuser

UIN：10001****187

首先，需要甲方帐号给乙方帐号做授权。有两种方式，在bucket权限管理中

1.使用ACL的方式做跨主账号授权

授权纬度：数据读取、数据写入、权限读取、权限写入;完全控制（包括前面四种）。

通过ACL授权主账号

2.授权Policy，进行精细化做跨主账号授权

授权纬度：用户ID，资源范围，操作行为，限制条件

通过Policy授权主账号

我们这里通过ACL给10000****930（乙方主账号）授权了“数据读取、权限读取”两个只读权限。接下来我们来验证一下。

调用列出对象（ListObjects）接口，看到返回正常请求

主账号执行ListObjects

调用设置对象ACL（PutOjectAcl）接口返回403无权限

主账号执行PutOjectAcl

到这里，我们可以通过ACL的方式授权另一个乙方主账号来访问A账号的bucket资源。且操作结果符合预期。

下一步，我们要授权乙方账号中的子帐号来访问A账号的bucket资源。

我们创建一个自定义策略，这个策略是授权子帐号管理wainsun桶的全部权限。（uid/ 这里的内容是资源拥有者的appid，后面的wainsun-125xxx 指的是资源拥有者要授权的bucket全称，bucket-appid方式）

{
    "version": "2.0",
    "statement": [{
        "effect": "allow",
        "action": "cos:*",
        "resource": "qcs::cos:ap-beijing:uid/125****742:wainsun-125****742/*"
    }]
}

授权给乙账号的子帐号Bsubuser，并执行设置对象ACL（PutOjectAcl），接口返回403

子账号执行PutOjectAcl

执行列出对象（ListObjects），正常返回。

子账号执行ListObjects

这里我们可以看到，虽然我们给Bsubuser授权的是全部权限，但是由于给“乙方主帐号”授权的为只读权限，那么Bsubuser依然被限定为只读权限。也就是说。Bsubuser的权限是授权策略和“乙方主帐号”授权策略的交集。

由此，我们演示了跨帐号授权访问和跨帐号的子帐号授权方访问的方法。

BTW：文章中提到的ACL授权和policy自定义策略授权意外，后续还会支持角色授权，角色授权后，可通过授权的帐号进行控制台的登录访问，会更加方便数据的管理与维护。