《大话华为云OBS+IAM权限控制》连载 (十九)：通过可视化视图勾选配置IAM的OBS细粒度权限时容易混淆出错的注意点

在IAM Web控制台上，针对某一个云服务创建新的IAM权限策略时，其可视化视图中会统一将Actions操作分为最多 ReadOnly、ReadWrite、ListOnly、Permissions 等四大类，对于OBS服务也同样如此，如下所示：

但是需要特别注意的是，这四大类的规则之间其实是没有继承性的，四大类对应的英文单词含义，和真正用户预期包含的权限Action项也并不完全一致。

• 例如，客户如果希望策略为达到的效果为通常意义上的“只读”，除了需要勾选 ReadOnly 之外，还需要 ListOnly 中的 obs:bucket:ListAllMyBuckets 和 obs:bucket:ListBucket 操作项

      Ø   如果没有obs:bucket:ListAllMyBuckets 将无法列举所有桶。特别提醒，添加 ListAllMyBuckets 需要在此IAM权限中单独创建一条规则，并选择“所有资源”，详见连载(十七)

      Ø   如果没有 obs:bucket:ListBucket 将无法列举桶内对象

  这两个操作Action对于通过Web页面访问OBS会产生致命影响，因为用户进入OBS控制台之后，默认首先就会执行列举桶操作，进入目标桶之后默认就会执行列举桶内对象操作——这也达不到通常用户所期待的真正的“只读”的效果
  
  

• 再例如，如果客户希望策略为通常意义上的“可读可写”，则需要同时勾选 ReadOnly、ReadWrite、ListOnly 中的各目标项，而不是仅仅勾选一个 ReadWrite，因为客户现实中希望的“可读可写”权限，一般包含普通意义上的增、删、改、查四类操作，ReadWrite项下只包含了增、删、改的操作项，而没有ReadOnly、ListOnly中的“查”操作项。