全部产品
弹性计算 会员服务 网络 安全 移动云 数加·大数据分析及展现 数加·大数据应用 管理与监控 云通信 阿里云办公 培训与认证 更多
存储与CDN 数据库 域名与网站(万网) 应用服务 数加·人工智能 数加·大数据基础服务 互联网中间件 视频服务 开发者工具 解决方案 物联网 智能硬件
访问控制
    怎样对OSS中的某个目录进行授权

怎样对OSS中的某个目录进行授权

更新时间:2018-01-10 10:30:44

OSS目录级别的授权

目录级别的授权属于授权的高级功能,如果您有此类需求,请您认真阅读并理解此部分。

背景

假设有一个用于存放照片的Bucket,叫myphotos。这个bucket下有一些目录,代表照片的拍摄地;每个拍摄地目录下又有年份子目录。

目录树结构如下

  1. myphotos[Bucket]
  2. ├── beijing
  3. ├── 2014
  4. └── 2015
  5. ├── hangzhou
  6. ├── 2013
  7. ├── 2014
  8. └── 2015 //授予此目录只读权限
  9. └── qingdao
  10. ├── 2014
  11. └── 2015

假设我们需要授权一个子用户只读访问myphotos/hangzhou/2015/目录的只读权限。根据使用场景不同,授权策略也有很大的区别。下面我们根据授权策略的复杂程度,由简入繁的为大家介绍三种场景。

场景一:子用户知道所在文件的路径,只需要读取文件内容的权限,不需要列出文件的权限

这个场景的特点是子用户知道文件的完整路径,可以使用完整的文件路径直接去读取文件内容。通常我们会将这样的权限授予一个软件系统,系统中文件路径符合某种规则(比如文件名是员工工号),或者文件路径持久化在软件系统的数据库中。

  1. {
  2. "Version": "1",
  3. "Statement": [
  4. {
  5. "Effect": "Allow",
  6. "Action": [
  7. "oss:GetObject"
  8. ],
  9. "Resource": [
  10. "acs:oss:*:*:myphotos/hangzhou/2015/*"
  11. ]
  12. }
  13. ]
  14. }

场景二:子用户使用OSS CMD访问目录myphotos/hangzhou/2015/,但是不知道目录中有哪些文件,需要列出目录中文件的权限

通常会将这样的权限授予软件开发者。开发者不清楚目录中究竟有哪些文件,然后使用OSS CMD或API直接获取目录信息。

场景一相比,这里需要新增ListObjects的权限。因为我们仅允许列出myphotos/hangzhou/2015/目录中的文件,所以在新增的ListObjects权限中,增加”oss:Prefix”的条件限定。

  1. {
  2. "Version": "1",
  3. "Statement": [
  4. {
  5. "Effect": "Allow",
  6. "Action": [
  7. "oss:GetObject"
  8. ],
  9. "Resource": [
  10. "acs:oss:*:*:myphotos/hangzhou/2015/*"
  11. ]
  12. },
  13. {
  14. "Effect": "Allow",
  15. "Action": [
  16. "oss:ListObjects"
  17. ],
  18. "Resource": [
  19. "acs:oss:*:*:myphotos"
  20. ],
  21. "Condition":{
  22. "StringLike":{
  23. "oss:Prefix":"hangzhou/2015/*"
  24. }
  25. }
  26. }
  27. ]
  28. }

场景三:子用户使用OSS控制台访问目录myphotos/hangzhou/2015/

最易用的场景,当子用户使用可视化的OSS客户端访问目录myphotos/hangzhou/2015/,可视化的客户端像Windows文件管理器一样,让子用户可以从根目录开始,一层一层的进入所要访问的目录。

与场景二相比,使用OSS可视化客户端时需要从从根目录一层一层导航进入myphotos/hangzhou/2015/,所以需要新增以下权限

  1. 列出所有Bucket的权限
  2. 列出myphotos下目录的权限,在这个例子中,即可以看到beijing/hangzhou/qingdao三个目录
  3. 列出myphotos/hangzhou下的目录的权限,即可以看到2013/2014/2015三个目录
  1. {
  2. "Version": "1",
  3. "Statement": [
  4. {
  5. "Effect": "Allow",
  6. "Action": [
  7. "oss:ListBuckets",
  8. "oss:GetBucketAcl"
  9. ],
  10. "Resource": [
  11. "acs:oss:*:*:*"
  12. ]
  13. },
  14. {
  15. "Effect": "Allow",
  16. "Action": [
  17. "oss:GetObject",
  18. "oss:GetObjectAcl"
  19. ],
  20. "Resource": [
  21. "acs:oss:*:*:myphotos/hangzhou/2015/*"
  22. ]
  23. },
  24. {
  25. "Effect": "Allow",
  26. "Action": [
  27. "oss:ListObjects"
  28. ],
  29. "Resource": [
  30. "acs:oss:*:*:myphotos"
  31. ],
  32. "Condition": {
  33. "StringLike": {
  34. "oss:Delimiter": "/",
  35. "oss:Prefix": [
  36. "",
  37. "hangzhou/",
  38. "hangzhou/2015/*"
  39. ]
  40. }
  41. }
  42. }
  43. ]
  44. }
本文导读目录