本文主要介绍如何通过 ossbrowser 进行简单的权限管理。

RAM 子账号

为保证数据安全,推荐您使用 RAM 账号(子账号)的 AccessKey(AK)登录 ossbrowser。
说明 创建子账号和 AK。详情请参见创建RAM用户
子帐号的权限分为:
  • 管理员子账号:拥有管理权限的子账号。例如授予某个子账号可管理所有Bucket和具有 RAM 授权配置的权限,该子账号即为管理员子账号。您可以使用阿里云主账户登录RAM控制台,创建管理员子账号,对账号授予如下权限。

  • 操作员子账号:仅拥有某个 Bucket 或某个目录只读权限的子账号。管理员可通过简化 Policy 授权给子账号分配权限。
    说明 您可以为子帐号授予更小的权限,具体设置请参考权限管理概述

使用临时授权码登录

ossbrowser 支持临时授权码登录。您可以将临时授权码提供给相应的人员,允许其在授权码到期前,临时访问您 Bucket 下某个目录。到期后,临时授权码会自动失效。

  1. 使用管理员子账号登录 ossbrowser。
    注意 为了您的数据安全,当您使用主账号或拥有所有管理权限的管理员子账号登录 ossbrowser 时,部分功能会被限制。您需使用管理员子账号的 AK 登录 ossbrowser ,生成授权码。管理员子账号需拥有对应存储空间或文件目录的管理权限、管理访问控制(RAM)的权限(AliyunRAMFullAccess)、调用STS服务AssumeRole接口的权限(AliyunSTSAssumeRoleAccess)。
  2. 勾选需要临时授权的文件或目录,单击更多 > 生成授权码

  3. 将获取的授权码保存。
  4. 退出登录,并使用授权码登录 ossbrowser,如下图所示。

简化 Policy 授权

管理员子账号登录 ossbrowser 后,可通过简化 Policy 授权,创建操作员子账号或对操作员子账号进行授权,可授予某个 Bucket 或某个目录只读或读写权限。
说明 ossbrowser 简化 Policy 授权,是基于阿里云 RAM 的访问控制产品。您也可以直接登录阿里云官网的 RAM 控制台,对子账号进行更细致的管理。
  1. 使用管理员子账号登录 ossbrowser。
  2. 勾选一个或多个需要授权的文件或目录,并单击更多 > 简化 Policy 授权
  3. 简化 Policy 授权页面,选择权限。
  4. 您可以在该页面给已有的操作员子账号授权或者创建新的操作员子账号。


    您可以查看生成的 Policy 文本,并将其复制到您需要的地方使用。例如,将 Policy 文本复制到阿里云官网 RAM 控制台,用于 RAM 子账号、Role 的授权策略编辑。

    注意 当前登录 ossbrowser 的 AK,必须拥有 RAM 的配置操作权限,才能使用简化 Policy 授权。例如拥有 RAM 配置管理权限的管理员子账户的 AK。