OBS权限配置实践--给不同租户（账户）授权

1      方案说明

A/B/C三个账户，A账户为桶owner，A账户给B账户赋予上传对象权限，给C账户赋予下载对象权限。                                         

2      配置操作

2.1        获取租户的账户ID

2.2        使用A账户登录console，为特定桶配置桶策略

举例：为账户配置obs-ydy-des桶上传对象的权限。

为B账户配置写入权限，为C账户配置读取桶内资源的权限。

3      权限验证

使三个账户的AK/SK使用S3Curl工具进行验证业务。

3.1        配置工具A/B/C三个账户的AK/SK（A账户：usertzf  B账户：userydy  C账户：userhqh）

3.2        使用A账户上传对象成功

使用A账户，上传成功。

Console控制台可以看到上传的文件。

3.3        使用B账户上传对象成功，上传是指定桶owner具有该对象完全控制权限

使用B账户，上传成功。

Console控制台客户查看到上传成功的文件。

3.4        使用B账户只能下载自己上传的对象，无法下载A账户上传的对象

1）B账号下载自己上传的对象，下载成功。

2）B账号下载A账户上传的对象，下载失败。

3.5        使用C账户下载对象成功

1）C账户下载A账户上传的对象，下载成功。

2）C账户下载B账户上传的对象，下载失败。

失败原因：桶策略由桶Owner设定，只会对桶Owner上传的对象生效，无法对其他用户上传的对象生效。

3.6        使用C账户无法上传对象

使用C账户上传对象时提示无权限，上传失败。