一、IAM策略配置
通过创建细粒度访问策略实现存储桶权限控制,主流对象存储服务均支持IAM策略管理:
- 登录管理控制台,进入访问管理模块
- 创建新策略并输入JSON策略文档,示例如下:
{ Version": "2012-10-17", Statement": [{ Effect": "Allow", Action": ["s3:GetObject"], Resource": "arn:aws:s3:::target-bucket/* },{ Effect": "Deny", Action": "s3:*", Resource": "arn:aws:s3:::* }] }示例策略:仅允许访问特定存储桶 - 将策略绑定到目标子用户账户
二、访问控制列表设置
在存储桶层级补充权限限制:
- 进入目标存储桶的访问控制列表(ACL)配置页
- 删除默认的全局访问权限
- 添加子用户账户并设置
READ/WRITE权限 - 启用存储桶策略继承功能
三、策略测试与验证
使用子账户凭证执行以下验证步骤:
- 尝试访问非授权存储桶应返回
403 Forbidden - 检查授权存储桶的文件上传/下载功能是否正常
- 通过策略模拟器验证权限生效范围
通过IAM策略与ACL的组合配置,可实现子用户粒度的存储桶访问控制。建议同时设置允许策略和拒绝策略,并定期通过策略模拟器进行权限审计。
本文由阿里云优惠网发布。发布者:编辑员。禁止采集与转载行为,违者必究。出处:https://aliyunyh.com/575926.html
其原创性以及文中表达的观点和判断不代表本网站。如有问题,请联系客服处理。
