1      方案说明

    假设非华为云服务的账户为ThomasYang，使用非华为云服务的租户为shan0304。

在需要使用应用市场上的非华为云自身服务来对OBS中的数据进行访问时，可以通过shan0304创建委托提供该服务的第三方应用的租户ThomasYang的方式来实现。委托创建后被委托的租户可以用创建委托的租户身份来对OBS资源进行访问。本方案例中以委托某租户通过AK/SK+STStoken访问OBS为例进行说明。

2      配置操作

租户shan0304登陆统一身份认证服务控制台，创建租户委托。

选择委托类型为“普通账号”，委托账号中输入被委托租户的账号名称，在权限选择中赋予对象存储Tenant_Administrator权限。                                     

3      权限验证

3.1        获取被委托租户具有te_agency权限的token

以postman为例进行说明，采用post方法调用IAM的v3/auth/tokens接口，在header中配置Content-Type为application/json，然后在Body中输入如下信息（参考截图）：

执行如下命令：https://iam.myhuaweicloud.com/v3/auth/tokens

在响应消息的Headers中获取X-Subject-Token字段，该字段即为所需的token信息。

可以在响应消息的body中查看roles字段，确认该token具有te_agency权限。

3.2        使用具有te_agency权限的token获取临时AK/SK+Ststoken

以postman为例进行说明，采用post方法调用IAM的v3.0/OS-CREDENTIAL/securitytokens接口，在Header中输入Content-Type为application/json，以及X-Auth-Token字段添加前一步中获取到的token信息。并在Body中输入如下信息（参考截图）：

在响应消息的Body中获取所需的临时AK/SK和Ststoken，参考下图

3.3        使用s3curl验证临时AK/SK+Ststoken的权限

添加临时AK/SK用户

执行命令:./s3curl.pl –id=linshi -- -H “x-amz-security-token:****” http://dfv-video.obs.cn-north-1.myhwclouds.com -v

其中dfv-video是tangzifu账户中的桶。