STS臨時授權簡介

訪問控制（STS臨時授權）是管理用戶身份與資源臨時訪問權限的服務。通過STS創建的角色不具備永久身份憑證，只能獲取可以自定義時效和訪問權限的臨時身份憑證，即安全令牌（STS Token）。

權限策略是用語法結構描述的一組權限的集合，可以精確地描述被授權的資源集、操作集以及授權條件。一個角色可以綁定一組權限策略，沒有綁定權限策略的角色可以存在，但不能訪問資源。用戶可以自主創建、更新和刪除策略。

相關概念

約束與限制

STS臨時授權支持的區域請參見產品能力地圖，可通過提工單申請權限。

STS臨時授權配置

創建角色

1. 點擊天翼云門戶首頁的“控制中心”，輸入登錄的用戶名和密碼，進入控制中心頁面。
2. 在控制臺上方點擊，選擇地域，以下操作選擇安徽-合肥2。
3. 在控制臺首頁，選擇“存儲>對象存儲”。
4. 在ZOS控制臺，點擊“訪問控制”。

5. 選擇“角色”頁簽點擊“創建角色”。

6. 根據提示信息完成相關參數配置。
7. 點擊“確定”按鈕，完成角色創建。

創建策略

在“訪問控制”頁面，選擇“策略”頁簽，點擊“創建策略”按鈕完成策略的創建。

注意
雖然公共資源池（華東1、武漢41、長沙42）創建的角色和策略都是這三個資源池通用的，但是建議在創建策略時，一條策略內授權的桶都所屬于同一個資源池。
比如需要對華東1的桶開放臨時權限，策略內授權的桶建議全部是華東1的桶，最好不要包括長沙42的桶。若一條策略內包括華東1和長沙42的桶，想用臨時AKSK訪問華東1的桶時，就需要用華東1的endpoint進行承接，承接后的臨時AKSK則無法訪問長沙42的桶；若想訪問長沙42的桶，需要用長沙42的endpoint重新進行承接，獲取到新的臨時AKSK。
其余資源池創建的角色和策略僅支持在創建的資源池使用，非通用。所以在創建策略時，一條策略內授權的桶必須都所屬于同一個資源池。

策略內容示例：

{
	"Version": "2012-10-17",
	"Statement": {
		"Action": [
			"s3:GetObject",
			"s3:PutObject",
			"s3:AbortMultipartUpload",
			"s3:DeleteObject",
			"s3:DeleteObjectVersion"
		],
		"Resource": [
			"arn:aws:s3:::bucket-name1/*",
			"arn:aws:s3:::bucket-name2/*"
		],
		"Effect": "Allow"
	}
}

添加權限（綁定策略）

在“角色”頁簽下，點擊指定角色的“添加權限”按鈕，即可對該角色添加權限策略。