一 创建子账户并授权对象存储(COS)存储桶列表访问权限
1.进入访问管理https://console.cloud.tencent.com/cam/overview
2.点击新建用户
3.点击快速创建
4.输入用户名并进入权限控制
5.将AdministratorAccess权限删除(将勾去掉即可)
6.搜索 QcloudCOSGetServiceAccess 权限并加入用户,添加完成后点击确定即可
7.修改访问方式为编程访问
8.点击创建用户
9.在此处保存你的SecretId和SecretKey,并确定只授权了QcloudCOSGetServiceAccess
二给予访问存储桶权限
1.点击策略->自定义测率
2.选择按照测率语法创建
3.选择空白模板后下一步
填入以下代码(代码说明->0000000000为你的APPID( 获取地址 )ap-guangzhou为你的存储桶区域代码(一般为ap-地区拼音,如南京就是ap-nanjing))
{
"version": "2.0",
"statement": [
{
"effect": "allow",
"action": "cos:*",
"resource": [
"qcs::cos:ap-guangzhou:uid/0000000000:hkbt-0000000000/*",
"qcs::cos:ap-guangzhou:uid/0000000000:hkbt-0000000000/"
]
}
]
}
4.根据实际情况填写代码后点击完成即可
三 关联策略
1.在访问管理->策略页面找到刚才创建的策略,点击关联用户/组
2.选中之前创建的用户然后点击完成即可
至此权限及策略就已经配置完成了
四 其他策略
授权子账号对特定目录的所有权限
注意data为需要特定目录
{
"version": "2.0",
"statement":[
{
"effect": "allow",
"action": "cos:*",
"resource": ["qcs::cos:ap-guanghzou:uid/0000000000:Bucket1-0000000000/data/*",
"qcs::cos:ap-guanghzou:uid/0000000000:Bucket1-0000000000/data"]
}
]
}
授权子账号对特定目录内文件的读权限
注意data为需要获取读权限的目录
{
"version": "2.0",
"statement":[
{
"effect": "allow",
"action": [
"cos:List*",
"cos:Get*",
"cos:Head*",
"cos:OptionsObject"
],
"resource": "qcs::cos:ap-guanghzou:uid/0000000000:Bucket1-0000000000/data/*"
}
]
}
授权子账号对特定文件的读写权限
注意需要读写的文件为存储桶下data目录下的info文件
{
"version": "2.0",
"statement":[
{
"effect": "allow",
"action": "cos:*",
"resource": "qcs::cos:ap-guanghzou:uid/0000000000:Bucket1-0000000000/data/info"
}
]
}
授权子账号对特定目录下所有文件的读写权限并禁止对该目录下指定文件的读写权限
对存储桶下data目录有读写权限,但是data目录下的info文件禁止读写
{
"version": "2.0",
"statement":
[
{
"effect": "allow",
"action": "cos:*",
"resource": "qcs::cos:ap-guagnhzou:uid/0000000000:Bucket1-0000000000/data/*"
},
{
"effect": "deny",
"action": "cos:*",
"resource": "qcs::cos:ap-guanghzou:uid/0000000000:Bucket1-0000000000/data/info"
}
]
}
授权子账号对指定前缀的文件的读写权限
仅给予存储桶data目录下的info文件的读写权限
{
"version": "2.0",
"statement":[
{
"effect": "allow",
"action": "cos:*",
"resource": "qcs::cos:ap-shanghai:uid/0000000000:Bucket1-0000000000/data/info*"
}
]
}
评论区