当前数据万象开放子账号数据持久化操作权限,通过关联 COS 指定资源写入权限实现。以下为相关案例,可实现数据万象全资源持久化处理授权或对指定资源授予持久化操作权限。
注意
子账号配置数据持久化权限前,必须先关联 CI 全读写权限 QcloudCIFullAccess。
授权子账号对所有资源进行持久化操作
假设企业账号 CompanyExample(OwnerUin 为100000000001,APPID 为1250000000)下有一个子账号 Developer,该子账号需要对企业账号 CompanyExample 下的所有资源进行持久化处理。
通过 COS 设置该账号下全部资源的写入权限来实现数据万象子账号持久化操作授权。
方案A:
方案B:
1. 通过策略语法方式创建以下策略。
{"version": "2.0","statement": [{"effect": "allow","action": ["cos:ListParts","cos:PostObject","cos:PutObject*","cos:InitiateMultipartUpload","cos:UploadPart","cos:UploadPartCopy","cos:CompleteMultipartUpload","cos:AbortMultipartUpload"],"resource": "*"}]}
2. 将该策略授权给子账号。授权方式请参见 授权管理。
授权子账号对特定目录的资源进行持久化操作
假设企业账号 CompanyExample(OwnerUin 为100000000001,APPID 为1250000000)下有一个子账号 Developer,该子账号需要对企业账号的存储桶(名为 examplebucket,所属地域为上海)中的 doc 目录下的资源进行持久化处理。
通过 COS 设置特定目录下资源的写入权限来实现数据万象的子账号持久化操作授权。
方案A:
方案B:
1. 通过策略语法方式创建以下策略。
{"version": "2.0","statement": [{"effect": "allow","action": ["cos:ListParts","cos:PostObject","cos:PutObject*","cos:InitiateMultipartUpload","cos:UploadPart","cos:UploadPartCopy","cos:CompleteMultipartUpload","cos:AbortMultipartUpload"],"resource":"qcs::cos:ap-shanghai:uid/1250000000:examplebucket-1250000000/doc/*"}]}
2. 将该策略授权给子账号,授权方式请参见 授权管理。
授权子账号对指定资源进行持久化操作
假设企业账号 CompanyExample(OwnerUin 为100000000001,APPID 为1250000000)下有一个子账号 Developer,该子账号需要对企业账号的存储桶(名为 examplebucket,所属地域为上海)中的 doc 目录下图片 picture.jpg 进行持久化处理。
通过 COS 设置特定资源的写入权限来实现数据万象子账号持久化操作授权。
方案A:
方案B:
1. 通过策略语法方式创建以下策略。
{"version": "2.0","statement": [{"effect": "allow","action": ["cos:ListParts","cos:PostObject","cos:PutObject*","cos:InitiateMultipartUpload","cos:UploadPart","cos:UploadPartCopy","cos:CompleteMultipartUpload","cos:AbortMultipartUpload"],"resource":"qcs::cos:ap-shanghai:uid/1250000000:examplebucket-1250000000/doc/picture.jpg"}]}
2. 将该策略授权给子账号,授权方式请参见 授权管理。
授权子账号对指定前缀的资源进行持久化操作
假设企业账号 CompanyExample(OwnerUin 为100000000001,APPID 为1250000000)下有一个子账号 Developer,该子账号需要对企业账号的存储桶(名为 examplebucket,所属地域为上海)中的 doc 目录下以 test 为前缀的资源进行持久化处理。
通过 COS 设置指定前缀资源的写入权限来实现数据万象子账号持久化操作授权。
方案A:
方案B:
1. 通过策略语法方式创建以下策略。
{"version": "2.0","statement": [{"effect": "allow","action": ["cos:ListParts","cos:PostObject","cos:PutObject*","cos:InitiateMultipartUpload","cos:UploadPart","cos:UploadPartCopy","cos:CompleteMultipartUpload","cos:AbortMultipartUpload"],"resource":"qcs::cos:ap-shanghai:uid/1250000000:examplebucket-1250000000/doc/test*"}]}
2. 将该策略授权给子账号,授权方式请参见 授权管理。
授权子账号对特定目录下所有资源进行持久化操作并禁止对该目录下指定文件操作
假设企业账号 CompanyExample(OwnerUin 为100000000001,APPID 为1250000000)下有一个子账号 Developer,该子账号需要对企业账号的存储桶(名为 examplebucket,所属地域为上海)中的 doc 目录下所有资源进行持久化处理,但禁止对 picture.jpg 文件进行持久化处理。
通过 COS 设置指定文件的写入权限来实现数据万象子账号持久化操作授权。
方案A:
方案B:
1. 通过策略语法方式创建以下策略。
{"version": "2.0","statement": [{"effect": "allow","action": ["cos:ListParts","cos:PostObject","cos:PutObject*","cos:InitiateMultipartUpload","cos:UploadPart","cos:UploadPartCopy","cos:CompleteMultipartUpload","cos:AbortMultipartUpload"],"resource":"qcs::cos:ap-shanghai:uid/1250000000:examplebucket-1250000000/doc/*"},{"effect": "deny","action": ["cos:ListParts","cos:PostObject","cos:PutObject*","cos:InitiateMultipartUpload","cos:UploadPart","cos:UploadPartCopy","cos:CompleteMultipartUpload","cos:AbortMultipartUpload"],"resource":"qcs::cos:ap-shanghai:uid/1250000000:examplebucket-1250000000/doc/picture.jpg"}]}
2. 将该策略授权给子账号,授权方式请参见 授权管理。