开发者指南

API 文档

SDK 文档

存储桶策略示例

最近更新时间:2020-07-30 18:34:18

注意:

添加存储桶策略时,请务必根据业务需要,按照最小权限原则进行授权。如果您直接授予其他用户所有资源(resource:*),或者所有操作(action:*)权限,则存在由于权限范围过大导致数据安全风险。

概述

本文将介绍限制子网、委托人和 VPC ID 的存储桶策略示例。您可以使用该存储桶策略,控制对存储桶及其数据的特定访问。有关访问策略语言的更多信息,请参见 访问策略语言概述

说明:

  • 使用对象存储控制台配置存储桶策略时,您需要授予用户拥有存储桶的相关权限,例如获取存储桶位置和列出存储桶权限。
  • 存储桶策略的大小限制为20KB。

示例 1:限制来自子网 10.1.1.0/24 网段 和 vpcid 为 aqp5jrc1 的请求

语法示例如下:

{
  "Statement": [
    {
      "Action": [
        "name/cos:*"
      ],
      "Condition": {
        "ip_equal": {
          "qcs:ip": [
            "10.1.1.0/24"
          ]
        },
        "string_equal": {
          "vpc:requester_vpc": [
            "vpc-aqp5jrc1"
          ]
        }
      },
      "Effect": "deny",
      "Principal": {
        "qcs": [
          "qcs::cam::anyone:anyone"
        ]
      },
      "Resource": [
        "qcs::cos:ap-guangzhou:uid/1250000000:examplebucket-1250000000/*"
      ]
    }
  ],
  "version": "2.0"
}

示例 2:限制 vpcid 为 aqp5jrc1 、特定委托人和特定存储桶的请求

语法示例如下:

{
  "Statement": [
    {
      "Action": [
        "name/cos:*"
      ],
      "Condition": {
        "string_equal": {
          "vpc:requester_vpc": [
            "vpc-aqp5jrc1"
          ]
        }
      },
      "Effect": "allow",
      "Principal": {
        "qcs": [
          "qcs::cam::uin/100000000001:uin/100000000002"
        ]
      },
      "Resource": [
        "qcs::cos:ap-beijing:uid/1250000000:examplebucket-1250000000/*"
      ]
    }
  ],
  "version": "2.0"
}