當您需要授予某個用戶訪問Bucket中特定資源的權限時,可以使用ossbrowser進行簡單的權限管理。
使用場景
某公司有多名員工,這些員工需訪問Bucket中的資源。您可以通過ossbrowser將訪問資源的權限授予不同用戶,以實現該訴求。例如,臨時授權員工A訪問Bucket中某個目錄的權限,或長期授權員工B某個Bucket或某個目錄只讀或讀寫權限。
前提條件
為保證數據安全,推薦您使用RAM用戶(子賬號)的AccessKey(AK)登錄ossbrowser。該RAM用戶(RAM用戶A)需具備管理某一Bucket的權限、AliyunRAMFullAccess(管理訪問控制RAM的權限)、AliyunSTSAsumeRoleAccess(調用STS服務AssumeRole接口的權限),以便進行臨時授權和簡化Policy授權。更多信息,請參見創建RAM用戶和為RAM用戶授權。
臨時授權
臨時授權是指通過調用AssumeRole接口,扮演一個RAM角色獲取其臨時身份憑證,并生成臨時授權碼,提供給相應的人員,允許其在授權碼到期前,臨時訪問您Bucket下某個目錄。到期后,臨時授權碼會自動失效。
使用RAM用戶A的AK登錄ossbrowser。
更多信息,請參見創建AccessKey和安裝并登錄ossbrowser。
單擊目標Bucket名稱。
勾選需要臨時授權的目錄,選擇。
重要僅目錄支持生成授權碼。
設置權限、有效時長、角色,然后單擊確定生成。
說明角色需要至少具有這個目錄的只讀權限。
單擊點擊復制,獲取生成的授權碼。
將授權碼提供給其他用戶,以便其臨時訪問您Bucket下某個目錄。
說明其他用戶可以使用授權碼登錄ossbrowser。更多信息,請參見通過授權碼登錄。
長期授權
ossbrowser支持長期授權(簡化Policy授權),基于授權時權限的選取,自動生成Policy,并授權給RAM用戶。授權后RAM用戶將具備某個Bucket或某個目錄只讀或讀寫權限。
ossbrowser簡化Policy授權,是基于阿里云RAM的訪問控制產品。您也可以直接登錄阿里云官網的RAM控制臺,對RAM用戶進行更細致的管理。
RAM用戶A登錄ossbrowser。
單擊目標Bucket名稱。
勾選一個或多個需要授權的文件或目錄,并選擇。
在簡化Policy授權頁面,選擇權限。
給已有的RAM用戶(RAM用戶B)授權或者創建新的RAM用戶。
說明您可以單擊查看Policy,查看生成的Policy文本,并將其復制到您需要的地方使用。例如,將Policy文本復制到阿里云官網RAM控制臺,用于RAM用戶、Role的授權策略編輯。
RAM用戶B的AK登錄ossbrowser,管理相應資源。