天翼云媒體存儲的訪問控制可以管理訪問權限，訪問權限描述的是網絡用戶（包括天翼云用戶和匿名用戶）對存儲資源可以進行哪些具體操作，因此一個訪問權限可以表示成三個必要的組成元素：身份、資源、操作。

訪問權限的元素

構成訪問權限的三個元素，包括：身份、資源、操作。

訪問權限的元素說明如下：

訪問控制的類型

天翼云媒體存儲中的各種資源的權限默認為私有，即只有資源的所有者可以訪問。資源所有者可以通過桶策略、桶ACL和對象ACL等方式授予其他用戶資源的訪問權限。

各個訪問控制方式說明如下：

基于策略的訪問控制

訪問策略僅作用于存儲桶，桶策略（Bucket Policy）使用JSON格式的數據管理指定用戶對天翼云媒體存儲資源可執行的操作。

訪問控制策略的元素

一條訪問控制策略包含的基本元素說明如下表：

更多關于桶策略的介紹可參考桶策略。

基于ACL的訪問控制

訪問控制列表（AccessControlList，ACL）可以作用于存儲桶和對象，桶ACL（Bucket ACL）和對象ACL（Object ACL）使用XML語言描述。

作為存儲桶的和對象的子資源，每個存儲桶和對象都有一個默認的ACL，ACL定義了用戶或用戶組對資源具有何種類型的訪問權限。

使用ACL進行訪問控制有如下限制：

• 桶和對象的所有者默認具有對該資源的完整權限，且無法刪除和修改。
• 匿名用戶無法成為資源的所有者，此時對象資源的所有者為存儲桶的所有者。
• 每個資源的ACL最多可以設置100條授權信息。

更多關于ACL的介紹可參考：ACL。

桶策略和ACL的關系

桶ACL可以授權用戶對桶及桶內對象進行讀寫和權限控制操作，而桶策略可以授權用戶操作桶的更多高級設置。

對象ACL則是授權用戶對桶內對象進行具體的讀寫操作。

如何選擇？

• 以下情況推薦使用桶策略：
  • 不同的用戶需要使用不同的權限時。
  • 用戶需要使用桶的高級配置功能時。
• 以下情況推薦使用ACL：
  • 需要對單獨對象進行額外的授權時。
  • 需要開放某個對象給所有匿名用戶訪問時。
  • 僅對桶或對象需要基礎的讀寫權限時。

映射關系

桶ACL用于桶基本的讀寫權限設置，而桶策略用于授權更精細化的訪問權限，包括資源與動作。桶ACL是基本的桶策略，可以被桶策略替代管理桶的訪問權限。

桶策略動作的映射關系如下表：

對象ACL和桶策略的映射關系如下表：

相關概念

• 賬號/天翼云用戶：指開通了天翼云的用戶，該用戶擁有對其資源的完全控制權限。
• 匿名用戶：指未開通天翼云的用戶或來自互聯網的所有訪客。