在启用对象存储双端固定时，可以参考本文配置 BucketPolicy，以确保不影响容器镜像的正常请求流量。

背景信息

天翼云对象存储ZOS支持桶策略及双端固定能力，可对Bucket的访问流量来源进行控制，确保安全合规。容器镜像服务CRS企业版实例的镜像数据存储在租户账号下的ZOS Bucket中，其正常运行强依赖CRS实例后端及镜像客户端对该Bucket的访问。若桶策略设置不当，将导致容器镜像服务使用异常。因此，当用户需要对ZOS Bucket配置桶策略或双端固定时，必须评估容器镜像场景的正常请求流量，并配置合理的策略以放通来自容器镜像服务实例后端及镜像客户端（例如ECS节点）的访问请求。

容器镜像场景对ZOS Bucket的访问流量架构图参考如下：

• 镜像上传场景：所有流量均通过CRS后端与ZOS Bucket交互，需确保CRS后端访问ZOS Bucket的请求被放通。

• 镜像下载场景：镜像元数据由CRS后端访问ZOS Bucket获取，而镜像层数据则通过重定向由客户端直接访问ZOS Bucket获取。因此，需确保CRS后端与镜像客户端访问ZOS Bucket的请求均被放通。

前置条件

• 已订购开通容器镜像服务（CRS）企业版实例。

• 已放通特定VPC内对容器镜像企业版实例的内网访问；参考：内网访问

• 已在对应VPC中创建好ZOS VPCE并启用私有域名解析；参考：使用VPCE方式接入对象存储

操作步骤

1. 生成合理的ZOS Bucket Policy。

   参考以下模板，生成Bucket Policy的JSON内容：

   # 注意， ZOS BucketPolicy具有强制流量限制能力，若配置不合理，可能导致所有访问来源均被阻断，包括控制台都不能正常管理
   # 请在配置BucketPolicy之前，确保您已清晰了解该策略的影响
   {
    "Version": "2012-10-17",
    "Statement": [
     {
      "Resource": [
      # 下面bucket-crs-xxxx改为您实际使用的ZOS Bucket名称
       "arn:aws:s3:::bucket-crs-7eb8c98a34754839bfd1c4c11d53800b",      
       "arn:aws:s3:::bucket-crs-7eb8c98a34754839bfd1c4c11d53800b/*"
      ],
      # 
      "Effect": "Deny",
      "Sid": "only_allow_crs",
      # 放通的权限动作，建议对CRS请求放通全量权限，避免权限不足异常
      "Action": [
       "s3:*"
      ],
      # 排除CRS内联委托账号，允许来自CRS后台的正常流量请求。以下内容不需要修改
      "NotPrincipal": {
       "AWS": [
        "arn:aws:iam:::role/CtyunAssumeRoleForCRSAccessZOS"
       ]
      }
     }
    ]
   }

2. 安装及配置本地S3 Browser。
   完成本地S3 Browser的安装与配置，具体操作请参考文档：S3Browser使用指南。

3. 添加Bucket Policy
   在S3Browser中，向对应的ZOS Bucket添加策略：右键点击目标桶名，选择Edit Bucket Polic，将上述生成的Policy内容复制粘贴至文本框中，最后点击Apply即可生效。