存储桶标签本质上是 COS 基于标签服务为您提供的管理存储桶的工具,存储桶标签是存储桶下的子资源。因此,存储桶和存储桶标签的依赖关系是先有存储桶,再有存储桶标签;基于存储桶标签授权,只能授予您的子账号管理存储桶配置、访问和管理存储桶内的对象等操作的权限,对于 GET Service 和 PUT Bucket 这两项操作,无法通过标签授权的方式授予子用户相应权限。
说明
GET Service 是账户级别操作,能够列出您账户下的所有存储桶,因此无法通过标签授权的方式授予用户权限。
PUT Bucket 操作是创建存储桶的操作,在进行存储桶的创建操作之前是没有标签子资源的,标签授权只能授权子用户操作已关联了的存储桶,而不能授权子用户操作不存在的存储桶。因此在标签授权中,FullControl(action 值为*)的权限范围并不包含这两项操作。