当您需要授予某个用户访问Bucket中特定资源的权限时,可以使用ossbrowser进行简单的权限管理。
使用场景
某公司有多名员工,这些员工需访问Bucket中的资源。您可以通过ossbrowser将访问资源的权限授予不同用户,以实现该诉求。例如,临时授权员工A访问Bucket中某个目录的权限,或长期授权员工B某个Bucket或某个目录只读或读写权限。
前提条件
为保证数据安全,推荐您使用RAM用户(子账号)的AccessKey(AK)登录ossbrowser。该RAM用户(RAM用户A)需具备管理某一Bucket的权限、AliyunRAMFullAccess(管理访问控制RAM的权限)、AliyunSTSAsumeRoleAccess(调用STS服务AssumeRole接口的权限),以便进行临时授权和简化Policy授权。更多信息,请参见创建RAM用户和为RAM用户授权。
临时授权
临时授权是指通过调用AssumeRole接口,扮演一个RAM角色获取其临时身份凭证,并生成临时授权码,提供给相应的人员,允许其在授权码到期前,临时访问您Bucket下某个目录。到期后,临时授权码会自动失效。
使用RAM用户A的AK登录ossbrowser。
更多信息,请参见创建AccessKey和安装并登录ossbrowser。
单击目标Bucket名称。
勾选需要临时授权的目录,选择。
重要仅目录支持生成授权码。
设置权限、有效时长、角色,然后单击确定生成。
说明角色需要至少具有这个目录的只读权限。
单击点击复制,获取生成的授权码。
将授权码提供给其他用户,以便其临时访问您Bucket下某个目录。
说明其他用户可以使用授权码登录ossbrowser。更多信息,请参见通过授权码登录。
长期授权
ossbrowser支持长期授权(简化Policy授权),基于授权时权限的选取,自动生成Policy,并授权给RAM用户。授权后RAM用户将具备某个Bucket或某个目录只读或读写权限。
ossbrowser简化Policy授权,是基于阿里云RAM的访问控制产品。您也可以直接登录阿里云官网的RAM控制台,对RAM用户进行更细致的管理。
RAM用户A登录ossbrowser。
单击目标Bucket名称。
勾选一个或多个需要授权的文件或目录,并选择。
在简化Policy授权页面,选择权限。
给已有的RAM用户(RAM用户B)授权或者创建新的RAM用户。
说明您可以单击查看Policy,查看生成的Policy文本,并将其复制到您需要的地方使用。例如,将Policy文本复制到阿里云官网RAM控制台,用于RAM用户、Role的授权策略编辑。
RAM用户B的AK登录ossbrowser,管理相应资源。