本文主要介绍如何通过ossbrowser进行简单的权限管理。

RAM用户

为保证数据安全,推荐您使用RAM用户(子账号)的AccessKey(AK)登录ossbrowser。
说明 创建RAM用户和AK。详情请参见创建RAM用户
RAM用户的权限分为:
  • 管理员子账号:拥有管理权限的RAM用户。例如授予某个RAM用户可管理所有Bucket和具有RAM授权配置的权限,该RAM用户即为管理员子账号。您可以使用阿里云账号登录RAM控制台,创建管理员子账号,对账号授予如下权限。
  • 操作员子账号:仅拥有某个Bucket或某个目录只读权限的RAM用户。管理员可通过简化Policy授权给RAM用户分配权限。
    说明 您可以为RAM用户授予更小的权限,详情请参见基于RAM Policy的权限控制

使用临时授权码登录

ossbrowser支持临时授权码登录。您可以将临时授权码提供给相应的人员,允许其在授权码到期前,临时访问您Bucket下某个目录。到期后,临时授权码会自动失效。

  1. 使用管理员子账号登录ossbrowser。
    注意 为了您的数据安全,当您使用阿里云账号或拥有所有管理权限的管理员子账号登录ossbrowser时,部分功能会被限制。您需使用管理员子账号的AK登录ossbrowser ,生成授权码。管理员子账号需拥有对应存储空间或文件目录的管理权限、管理访问控制(RAM)的权限(AliyunRAMFullAccess)、调用STS服务AssumeRole接口的权限(AliyunSTSAssumeRoleAccess)。
  2. 勾选需要临时授权的文件或目录,单击更多 > 生成授权码
  3. 将获取的授权码保存。
  4. 退出登录,并使用授权码登录ossbrowser,如下图所示。

简化Policy授权

管理员子账号登录ossbrowser后,可通过简化Policy授权,创建操作员子账号或对操作员子账号进行授权,可授予某个Bucket或某个目录只读或读写权限。
说明 ossbrowser简化Policy授权,是基于阿里云RAM的访问控制产品。您也可以直接登录阿里云官网的RAM控制台,对RAM用户进行更细致的管理。
  1. 使用管理员子账号登录ossbrowser。
  2. 勾选一个或多个需要授权的文件或目录,并单击更多 > 简化Policy授权
  3. 简化Policy授权页面,选择权限。
  4. 您可以在该页面给已有的操作员子账号授权或者创建新的操作员子账号。

    您可以查看生成的Policy文本,并将其复制到您需要的地方使用。例如,将Policy文本复制到阿里云官网RAM控制台,用于RAM用户、Role的授权策略编辑。

    注意 当前登录ossbrowser的AK,必须拥有RAM的配置操作权限,才能使用简化Policy授权。例如拥有RAM配置管理权限的管理员子账户的AK。