权限管理方式介绍
更新时间 2025-07-17 14:51:14
最近更新时间: 2025-07-17 14:51:14
默认情况下,为保证存储在ZOS中数据的安全性,ZOS资源(包括桶和对象)的访问权限默认为私有,只有资源拥有者允许访问。桶的资源拥有者为创建桶的账号,对象的资源拥有者为上传对象的账号。如果要授权第三方用户访问自己的ZOS资源,可以通过多种权限管理方式向他人授予资源的特定权限。
三种权限管理方式总览
ZOS提供了以下权限管理方式:
| 权限管理方式 | 说明 | 适用场景 |
|---|---|---|
| IAM权限 | IAM是一种基于用户的授权策略。通过设置IAM策略,您可以控制用户访问资源的权限。 |
|
| 桶策略 | 桶策略是一种用于控制桶访问权限的策略,允许桶的所有者授予其他用户特定权限。通过桶策略,所有者可以灵活地定义和管理桶的访问权限。 |
|
| 桶读写权限(ACL) | 桶读写权限可用来管理账户对存储桶的访问权限和ACL权限,桶的拥有者可以通过桶ACL授予或修改指定账号的访问权限。 | 作为IAM权限和桶策略的补充,对单个桶内的所有对象设置相同的访问权限。 |
| 对象读写权限(ACL) | 在上传文件时,您可以指定文件的读写权限,如私有和公共读。 | 对单个或多个对象单独设置访问权限,如将某个对象开放给所有匿名用户访问。 |
三种权限管理方式的关系如下图所示:
权限管理要素
ZOS的权限管理策略有授权账号、效果(Effect)、资源(Resource)、授权项(Action)、条件(Condition)等要素,不同的权限管理方式有不同的元素,这些元素共同决定了授权的结果。不同权限管理方式中各个要素的支持情况如下表所示。
| 权限管理方式 | 授权账号 | 效果 | 资源 | 授权项 | 是否支持配置条件 |
|---|---|---|---|---|---|
| IAM权限 | IAM用户 | 允许/拒绝 | ZOS所有资源或指定资源 | ZOS定义的操作权限 | 支持 |
| 桶策略 |
| 允许/拒绝 |
| ZOS定义的操作权限 | 支持 |
| 桶读写权限(ACL) |
| 允许 | 桶 |
| 不支持 |
| 对象读写权限(ACL) |
| 允许 | 对象 |
| 不支持 |
配置多种权限管理方式的作用结果
在实际使用过程中,用户往往会同时配置多种权限管理方式。此时会首先判断显式Deny策略,只要IAM或桶策略其中之一配置了显式Deny策略,则直接拒绝。其后再依次判断Allow策略和ACL策略。判断过程如下图所示。
同账号场景下,为当前账号下的IAM用户授予桶和桶内资源的访问权限,桶策略、IAM权限和ACL权限的作用结果如下图所示。
跨账号场景下,为其他账号及账号下的IAM用户授予桶和桶内资源的访问权限,桶策略、IAM权限和ACL权限的作用结果如下图所示。
