使用STS临时安全令牌实现跨账号回源OSS私有Bucket操作指引-边缘安全加速(ESA)-阿里云帮助中心

本文档介绍如何使用STS临时安全令牌实现跨账号回源OSS的私有Bucket。相比永久安全令牌AccessKey的配置繁琐，STS方式提供了更灵活、安全的备用方案，帮助用户简化权限管理并提升资源访问的安全性。

默认情况下，ESA使用STS的方式，只支持回源到同一个账号下的OSS私有Bucket。如果您需要使用STS实现跨账号回源OSS私有Bucket，需要您手动在OSS上添加Bucket授权策略来实现，配置方式如下：

登录私有Bucket所在的阿里云账号，进入OSS控制台。
依次单击Bucket 列表 > 目标Bucket > 权限控制 > Bucket 授权策略，在权限控制Bucket 授权策略页签中单击新增授权。
授权用户选择其他账号，填写 ESA 所在阿里云账号的账号 ID 或 RAM 用户 ARN。RAM 用户 ARN 格式为 acs:sts::<uid>:*，其中 <uid> 为该阿里云账号的账号 ID。授权操作选择简单设置 > 只读（不包含ListObject操作），随后单击确定完成配置。
添加成功之后，可以在Bucket 授权策略页签中看到授权信息。