本文主要介绍如何通过 ossbrowser 进行简单的权限管理。

RAM 子账号

为保证数据安全,推荐您使用 RAM 账号(子账号)的 AccessKey(AK)登录 ossbrowser。
说明 创建子账号和 AK。详情请参见创建RAM用户
子帐号的权限分为:
  • 管理员子账号:拥有管理权限的子账号。例如:授予某个子账号可管理所有Bucket和具有 RAM 授权配置的权限,该子账号即为管理员子账号。您可以使用阿里云主账户登录RAM控制台,创建管理员子账号,对账号授予如下权限。

  • 操作员子账号:仅拥有某个 Bucket 或某个目录只读权限的子账号。管理员可通过简化 Policy 授权给子账号分配权限。
    说明 您可以为子帐号授予更小的权限,具体设置请参考权限管理概述

使用临时授权码登录

ossbrowser 还支持临时授权码登录。您可以将临时授权码提供给相应的人员,允许其在授权码到期前,临时访问您 Bucket 下某个目录。到期后,临时授权码会自动失效。
  1. 生成临时授权码。
    比如,您作为管理员,先使用管理员子账号 AK 登录 ossbrowser,并在管理界面,选择需要临时授权的文件或目录,生成临时授权码,如下图所示:

    注意 为了您的数据安全,当您使用主账号或拥有所有管理权限的管理员子账号登录 ossbrowser 时,部分功能会被限制。您需使用管理员子账号的 AK 登录 ossbrowser ,生成授权码。管理员子账号需拥有对应存储空间或文件目录的管理权限、管理访问控制(RAM)的权限(AliyunRAMFullAccess)、调用STS服务AssumeRole接口的权限(AliyunSTSAssumeRoleAccess)。
  2. 使用授权码登录 ossbrowser。
    在过期前,临时授权码可用来登录 ossbrowser,如下图所示:

简化 Policy 授权

管理员子账号登录 ossbrowser 后,可通过 简化 Policy 授权,创建操作员子账号或对操作员子账号进行授权,可授予某个 Bucket 或某个目录只读或读写权限。
说明 ossbrowser 简化 Policy 授权,是基于阿里云 RAM 的访问控制产品。您也可以直接登录阿里云官网的 RAM 控制台,对子账号进行更细致的管理。
  1. 勾选一个或多个需要授权的文件或目录,并单击简化 Policy 授权,如下图所示:

  2. 简化 Policy 授权页面,选择权限。
  3. 您可以在该页面给已有的操作员子账号授权或者创建新的操作员子账号。
    注意 当前登录 ossbrowser 的 AK,必须拥有 RAM 的配置操作权限,才能使用简化 Policy 授权。例如,拥有 RAM 配置管理权限的管理员子账户的 AK。



    您可以查看生成的 Policy 文本,并将其复制到您需要的地方使用。例如,将 Policy 文本复制到阿里云官网 RAM 控制台,用于 RAM 子账号、Role 的授权策略编辑。

管理子用户

您可以单击 子用户,通过 ossbrowser 快速管理您的主账号下的子账号信息,包括修改子账号的用户名和显示名、获取账号的 AccessKeys 信息、删除子账号。
说明
  • 通过 ossbrowser 生成的 AccessKeys,可直接查看 AccessKeyId 和 AccessKeySecret;通过 RAM 控制台生成的 AccessKeys,仅可以查看AccessKeyId。
  • 管理子用户时,您需要使用管理员子账号的 AK 登录 ossbrowser,管理员子账号需拥有管理访问控制(RAM)的权限(AliyunRAMFullAccess)。为了您的数据安全,当您使用主账号或拥有所有管理权限的管理员子账号登录 ossbrowser 时,部分功能会被限制。
  • 子用户管理仅提供必要的用户管理功能,更进一步的增强功能,请在RAM 控制台操作。