適用時間

媒體存儲自2024年11月13日對天翼云統一身份認證IAM的主子賬號權限體系對接互通，該實踐方案生效于2024年11月13日后。

適用場景

通過對子用戶進行桶級別的權限隔離的實踐方案，可實現以下場景需求：

• 子用戶級別的權限隔離，每個存儲桶僅能由指定的子用戶操作。
• 對于ACL為“私有”的存儲桶或對象，則只有該Bucket的主賬號或被授權者可以對相應資源進行讀寫操作。通過子用戶授權隔離，可向指定的子用戶授予相應資源的讀或寫權限。

操作步驟

對子用戶進行桶級別的權限授權操作步驟如下：

登錄媒體存儲控制臺

登錄媒體存儲控制臺，具體可參考：登錄控制臺 。

創建存儲桶

主賬號通過媒體存儲控制臺，完成存儲桶的創建，具體可參考：新建Bucket 。

授權子用戶

主賬號通過媒體存儲控制臺，完成子用戶授權，具體可參考：子用戶授權 。

登錄IAM控制臺

主賬號使用天翼云賬號登錄。

新建子用戶

主賬號登錄，選擇【用戶】頁簽，再右上角點擊【創建用戶】，根據頁面表單信息填寫，點擊【確認】即可完成子用戶創建。具體可參考：新建子用戶 。

操作界面如下：

授權子用戶

1. 主賬號使用天翼云賬號登錄，點擊左側導航窗格的【用戶】頁簽，在用戶列表選擇目標子用戶對應的操作欄中點擊【查看】按鈕，進入用戶詳情頁面。
   

2. 進入用戶詳情后，點擊【權限管理】，在【個人權限】頁簽，點擊【新增權限】。
   

3. 在【新增授權】的頁面，利用搜索框輸入【媒體存儲-產品側授權】，點擊搜索圖標，可以檢索出一條名為【媒體-產品側授權】的系統全局策略，如下圖所示。
   

4. 勾選【媒體存儲-產品側授權】策略，并點擊【下一步】，在【設置最小授權范圍】這一頁無需做任何配置，直接點擊【確定】，完成本次權限配置。至此，當前子用戶具備了使用媒體存儲產品控制臺的權限。
    注意：媒體存儲尚未實現與CTIAM自定義策略對接。因此，請勿使用CTIAM權限管理的【新增權限】選擇您【自定義策略】去授權，或將作用范圍配置為特定資源池。

5. 上述操作只是給該子用戶配置了擁有登錄媒體存儲產品控制臺的權限，如需給子用戶配置具體的自定義細化策略，需主賬號登錄，進入【子用戶授權】菜單，列表展示已授權對象存儲相關權限的子用戶信息。

6. 進入【子用戶授權】列表，點擊對應子用戶的【管理】按鈕，進入子用戶詳情頁面。

   

7. 在【策略管理】標簽頁，點擊【新增策略授權】按鈕，選擇需要新增的權限，點擊保存，即可完成授權操作。

   

獲取子用戶AK/SK

方法一：媒體存儲控制臺，可查看您原在媒體存儲控制臺創建的AK/SK和從CTIAM新建的AK/SK。

1. 登錄，進入子用戶授權菜單，點擊對應子用戶的【管理】按鈕，進入子用戶詳情頁面。

2. 在【密鑰管理】標簽頁可查看其AK/SK信息。

   

方法二：CTIAM控制臺，只能查看在CTIAM新建的AK/SK。

1. 登錄。

2. 點擊左側導航窗格的【用戶】，在用戶名對應的操作選項中點擊【查看】按鈕，進入用戶詳情頁面。

   

相關問題

在子用戶權限隔離場景中，您可能會遇到需要新增自定義策略，或取消授權等問題，可參考以下步驟操作。

新增策略

1. 進入，進入策略管理。

   

2. 系統已預置部分策略，如需自定義策略，請點擊【新增策略】進行操作。

   

3. 在新增策略頁面中，填寫策略名稱與策略語句。

   

策略示例

• 示例一：

以下策略語句為允許子賬號對指定bucket執行所有操作，子用戶可通過子用戶控制臺、API、SDK進行相關操作。

其中BUCKET-NAME需替換為實際的桶名稱。

{
??"Version":?"2012-10-17",
??"Statement":?[{
????"Action":?"*",
????"Resource":?["arn:aws:s3:::BUCKET-NAME","arn:aws:s3:::BUCKET-NAME/*"],
????"Effect":?"Allow",
????"Sid":?"BUCKET-NAME"
??},?{
????"Action":?"s3:ListAllMyBuckets",
????"Resource":?"*",
????"Effect":?"Allow",
????"Sid":?"BUCKET-NAME"
??},?{
????"Action":?"s3:ListBucket",
????"NotResource":?"arn:aws:s3:::BUCKET-NAME",
????"Effect":?"Deny",
????"Sid":?"BUCKET-NAME"
??}]
}

• 示例二：

以下策略語句為允許子賬號讀取指定Bucket中的所有Object，子用戶僅可通過API、SDK進行相關操作。如您需創建一個子用戶用以CDN回源私有存儲桶的場景，可參考此示例。

其中BUCKET-NAME需替換為實際的桶名稱。

{
??"Version":?"2012-10-17",
??"Statement":?[{
????"Action":?"s3:GetObject",
????"Resource":?["arn:aws:s3:::BUCKET1-NAME/*","arn:aws:s3:::BUCKET2-NAME/*"],
????"Effect":?"Allow",
????"Sid":?"BUCKET-NAME"
??}]
}

取消子用戶的某個權限策略

1. 點擊對應子用戶的【管理】按鈕，進入子用戶詳情頁面。

   

2. 在【策略管理】標簽頁，點擊【新增策略授權】按鈕，選擇需要新增的權限。如需取消授權策略，則點擊對應策略的【取消授權】。