文档

OSS跨账号授权说明

更新时间:

本文介绍如何实现在VCS中读取用户OSS上的数据,需用户进行以下授权过程,让VCS有权限读取用户的OSS。

前提条件

  • 用户已开通阿里云OSS服务(oss.console.aliyun.com),并在OSS上传数据。

  • 用户已开通访问控制服务(ram.console.aliyun.com)。

步骤一:新建OSS访问策略

  1. 用户登录阿里云访问控制页面,https://ram.console.aliyun.com

  2. 在左侧导航栏,单击权限管理权限策略管理,在弹出页面中单击创建权限策略

  3. 策略名称填写“AliyunVcsAccessOssPolicy”,配置方式选择脚本配置

  4. 策略内容填写(推荐使用授权方式1):

授权方式1:只允许VCS读取部分bucket(假设用户数据存储在“my-bucket-xxxx”这个bucket里)

{
  "Statement": [
    {
      "Action": [
        "oss:Get*",
        "oss:List*"
      ],
      "Effect": "Allow",
      "Resource": [
        "acs:oss:*:*:my-bucket-xxxx"
      ]
    }
  ],
  "Version": "1"
}

授权方式2:允许VCS读取OSS所有bucket(比较简单但授权粒度过粗)

{
  "Statement": [
    {
      "Action": [
        "oss:Get*",
        "oss:List*"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ],
  "Version": "1"
}

5. 单击确定。

步骤二:新建RAM角色

  1. 用户在左侧导航栏,单击RAM角色管理,然后单击创建RAM角色。

  2. 可信实体类型选择阿里云服务,单击下一步。

  3. 角色名称填写“AliyunVcsAccessOssRole”(不能填错),授信服务先选择“物联网”(步骤三中再修改)。

14. 单击完成。

步骤三:修改RAM角色信任策略

  1. 用户在左侧导航栏,单击RAM角色管理。

  2. 找到步骤二创建的RAM角色名称,单击角色名。

2

3. 单击信任策略管理页签,然后单击修改信任策略,将"iot.aliyuncs.com"替换为“vcs.aliyuncs.com”。

3

4. 单击确定。

步骤四:为RAM角色添加OSS访问策略

  1. 用户在左侧导航栏,单击RAM角色管理。

  2. 找到步骤二创建的RAM角色名称,单击角色名。

4

3. 单击权限管理里的添加权限,在自定义策略中选择步骤一创建的OSS访问策略。

5

4. 单击确定。