喜讯：国内、香港、海外云服务器租用特惠活动，2核/4G/10M仅需31元每月，点击抢购>>>

点击这里注册天翼云特邀VIP帐号，立即体验天翼云对象存储>>>

天翼云对象存储（融合版）对子用户进行桶级别的权限隔离教程

适用场景

通过对子用户进行桶级别的权限隔离的实践方案，可实现子用户级别的权限隔离，用户可以根据业务情况自助配置。

操作步骤

新建Bucket

主账号通过对象存储融合版控制台，完成存储桶的创建，具体可参考：新建Bucket 。

新建子用户

1. 使用天翼云账号登陆 子用户管理后台，进入系统内置工作区，创建子用户。您需要填写用户名称、邮箱、手机号、二次确认登录密码以及图片验证码。其中用户手机和邮箱具有唯一性，如果已经作为其他账号的登录凭证使用过，将不能再次使用。
   

2. 子用户创建完成后，添加如下角色：

   

3. 权限策略部分保持默认：

   

4. 完成子用户创建。

策略授权

1. 进入对象存储（融合版）控制台，进入策略管理，系统已预置部分策略，如需自定义策略，请点击【新增策略】进行操作。
   

2. 在新增策略页面中，填写策略名称与策略语句。
   

3. 主账号进入对象存储（融合版）控制台，进入【子用户授权】菜单，列表展示已授权对象存储相关权限的子账号信息，点击【新增子用户授权】，进行新增操作。

   

4. 在新增授权页面选择存储区域、需要授权的子用户、授权策略，点击保存。完成子用户授权操作。

   

获取子用户AKSK

1. 主账号登录对象存储（融合版）控制台，进入子用户授权菜单，点击对应子用户的【管理】按钮，进入子用户详情页面。
   
2. 在【密钥管理】标签页可查看其AK/SK信息。
   

子用户使用控制台

子用户可通过子用户控制进行界面化操作，控制台连接：https://xstore-console.ctcdn.cn 。

策略示例

以下为允许子账号操作指定bucket的示例，其中BUCKET-NAME需替换为实际的桶名称：

{
  "Version": "2012-10-17",
  "Statement": [{
    "Action": "*",
    "Resource": ["arn:aws:s3:::BUCKET-NAME","arn:aws:s3:::BUCKET-NAME/*"],
    "Effect": "Allow",
    "Sid": "BUCKET-NAME"
  }, {
    "Action": "s3:ListAllMyBuckets",
    "Resource": "*",
    "Effect": "Allow",
    "Sid": "BUCKET-NAME"
  }, {
    "Action": "s3:ListBucket",
    "NotResource": "arn:aws:s3:::BUCKET-NAME",
    "Effect": "Deny",
    "Sid": "BUCKET-NAME"
  }]
}