1. 应用场景

使用“双端固定”特性，可以对ZOS中的资源提供VPC粒度的权限控制，确保数据在一个安全的网络环境内传输，降低未授权访问风险。只有指定用户可以通过内网访问，只能由某个特定VPC通过内网访问，来自其他VPC的访问都会被拒绝。

2. 典型场景

• VPC只能访问指定对象桶。VPC1内的服务器只能下载桶A中的对象，不允许访问其他桶。桶A并未设置桶策略，其他VPC也可以访问桶A

• VPC只能访问指定对象桶，对象桶只能被指定VPC访问。只允许VPC1内的服务器上传/下载桶A中的对象，并且只允许桶A中的对象被VPC1内的服务器上传/下载，其他VPC不能访问其他桶，通A也不能被其他VPC访问

3. 前置条件

在华北2资源池已开通如下资源

• 已创建2个或以上VPC

• 每个VPC下分别已创建云主机

• 已开通对象存储服务，上传文件testfile

4. 场景1：VPC只能访问指定对象桶 操作步骤

1. 点击导航栏“控制中心”，选择相应的地域，点击“网络 >  VPC终端节点”，进入终端节点管理页面

2. 点击“创建终端节点”，配置终端节点参数，服务类型选择“云服务”，服务选择“cn.ctyun.cn-tianjin-01.zos”，其他参数默认，点击下一步，勾选协议后点击提交

3. 创建成功后，点击创建的终端节点名称进入详情页面，点击策略进行编辑，修改策略允许 VPC 内的服务器通过该终端节点只能访问 testhuabei2 桶中的所有对象，不能访问其他对象桶

4. 登录VPC1下的云主机，安装obsutil工具，配置访问对象服务的aksk,endpoint地址填写为终端节点地址

5. VPC1通过终端节点，下载testhuabei2桶下的testfile对象成功

6. VPC1通过终端节点，下载testhuabei3下的对象失败

7. 终端节点策略中添加允许访问testhuabei3的策略，访问testhuabei3下的对象成功

再次下载testhuabei3桶中的testfile成功

5. 场景2：VPC只能访问指定对象桶，对象桶只能被指定VPC访问 操作步骤

第4章节描述了从访问侧配置策略，允许VPC只能访问指定的对象桶testhuawei2，testhuawei2只能被指定的VPC访问通过桶策略的配置实现

1. 点击导航栏“控制中心”，选择相应的地域，点击“存储 > 对象存储”，进入对象存储管理页面

2. 点击对象桶名称进入桶详情页面，切换权限管理页签，点击设置桶策略，配置只有终端节点可以访问

3. 对象桶testhuabei2只能通过VPC1的终端节点才能访问，其他VPC无法访问

VPC2终端节点无法访问下载