教程示例:基于Bucket Policy實(shí)現(xiàn)跨賬號(hào)訪問(wèn)OSS
阿里云OSS的資源默認(rèn)都是私有的,如果您希望您的合作伙伴可以訪問(wèn)您的OSS資源,可以通過(guò)Bucket Policy授予合作伙伴訪問(wèn)Bucket的權(quán)限。
背景信息
公司A希望其合作公司B可以訪問(wèn)自己的OSS資源,但又不方便開放RAM用戶給B公司。此時(shí),A公司可以通過(guò)Bucket Policy授予合作伙伴訪問(wèn)Bucket的權(quán)限。B公司賬號(hào)獲得授權(quán)后,可以在控制臺(tái)添加A公司OSS資源的訪問(wèn)路徑進(jìn)行訪問(wèn)。
添加Bucket Policy
A公司通過(guò)Bucket Policy授予合作伙伴B公司訪問(wèn)授權(quán)Bucket。具體步驟如下:
獲取B公司賬號(hào)的RAM用戶UID。
在左側(cè)導(dǎo)航欄,選擇。
在用戶頁(yè)面,單擊創(chuàng)建用戶。
在創(chuàng)建用戶頁(yè)面,用戶賬號(hào)信息區(qū)域輸入登錄名稱和顯示名稱,訪問(wèn)方式選中控制臺(tái)訪問(wèn),其他參數(shù)保留默認(rèn)配置,然后單擊確定。
單擊剛創(chuàng)建的RAM用戶的用戶名,在用戶基本信息區(qū)域,查看并記錄RAM用戶的UID。
A公司賬號(hào)授予B公司賬號(hào)的RAM用戶訪問(wèn)授權(quán)資源。
單擊Bucket 列表,然后單擊目標(biāo)Bucket名稱。
在左側(cè)導(dǎo)航欄,選擇。
在Bucket 授權(quán)策略頁(yè)面的按圖形策略添加頁(yè)簽,單擊新增授權(quán)。
在新增授權(quán)面板,填寫授權(quán)策略。其中,授權(quán)用戶選擇其他賬號(hào),并填寫B公司賬號(hào)已創(chuàng)建RAM用戶的UID。其他參數(shù)配置方式,請(qǐng)參見Bucket Policy。
單擊確定。
登錄RAM用戶賬號(hào)并添加訪問(wèn)路徑
Bucket Policy添加完成后,您還需要登錄B公司的RAM用戶賬號(hào),添加A公司的Bucket訪問(wèn)路徑。配置步驟如下:
通過(guò)RAM賬號(hào)登錄地址登錄B公司RAM用戶賬號(hào)。
在左側(cè)導(dǎo)航欄,單擊我收藏的路徑右側(cè)的加號(hào)(+)。
在添加收藏路徑對(duì)話框,按以下說(shuō)明配置各項(xiàng)參數(shù)。
參數(shù)
說(shuō)明
添加方式
選中從其他已授權(quán)bucket添加,將當(dāng)前賬號(hào)下公司A授權(quán)訪問(wèn)的Bucket添加到收藏路徑。
地域
下拉選擇A公司授權(quán)訪問(wèn)的Bucket所在地域。
文件路徑
添加A公司授權(quán)訪問(wèn)的文件路徑。例如當(dāng)A公司授權(quán)訪問(wèn)examplebucket中文件夾examplefolder下的文件或子文件夾時(shí),則填寫
oss://examplebucket/examplefolder/。請(qǐng)求者付費(fèi)
當(dāng)授權(quán)訪問(wèn)的Bucket開啟了請(qǐng)求者付費(fèi)模式,且您不是該Bucket擁有者的情況下,需選中我已知曉并同意。否則,訪問(wèn)文件路徑下指定的資源時(shí)會(huì)報(bào)錯(cuò)AccessDenied。選中我已知曉并同意后,您可以正常訪問(wèn)文件路徑下的指定資源,且訪問(wèn)該Bucket產(chǎn)生的流量、請(qǐng)求次數(shù)等費(fèi)用將由您支付。更多信息,請(qǐng)參見開啟請(qǐng)求者付費(fèi)模式。
單擊確定。
您也可以創(chuàng)建AccessKey,并通過(guò)AccessKey使用ossutil、ossbrowser等工具訪問(wèn)被授權(quán)的Bucket。