华为云用户手册

分享对象 OBS提供分享功能，将存放在OBS中对象（文件或文件夹）限时分享给所有用户。 文件分享 文件分享强调临时性，所有分享的URL都是临时URL，存在有效期。 临时URL是由文件的访问 域名 和临时鉴权信息组成。示例如下： https://bucketname.obs.cn-north-4.myhuaweicloud.com:443/image.png?AccessKeyId=xxx&Expires=xxx&response-content-disposition=xxx&x-obs-security-token=xxx&Signature=xxx 临时鉴权信息主要包含AccessKeyId、Expires、x-obs-security-token和Signature四个参数。其中AccessKeyId、x-obs-security-token和Signature用于鉴权，Expires定义鉴权的有效期。临时鉴权的方法及各参数的详细解释，请参见《 对象存储服务 API参考》的URL中携带签名章节。此外，临时URL中还包含了response-content-disposition，定义访问对象时是直接下载或者在浏览器中预览，取值由浏览器根据所分享对象的Content-Type解析所得。 当在OBS控制台上单击了对象后的“分享”之后，OBS就会以默认5分钟的有效期获取临时鉴权信息，并生成分享链接，此时链接就已经生效并且开始计算时间了。每调整一次URL有效期，OBS就会重新获取一次鉴权信息以生成新的分享链接，新链接的有效期从调整的时候开始计算。 文件夹分享 文件夹分享强调临时性，存在有效期。临时分享分为两种方式：提取码分享、直接分享。 提取码分享：分享者需要先设置一个6位数的提取码，再创建分享。创建成功后，OBS会自动将文件夹中的所有对象的下载链接汇总到一个静态网站中，并托管到一个公共的OBS桶。所有用户均可使用创建分享时生成的临时URL和提取码，访问这个静态网站，并进行文件下载。 直接分享：分享者输入有效期后直接分享链接给用户。用户通过一个签名即可访问文件夹下所有的对象。

临时访问密钥的权限 IAM 用户在调用IAM的获取临时AK/SK和securitytoken接口时，可通过设置policy参数，为临时访问密钥增加临时策略来约束使用者的权限。临时策略的格式与内容与IAM权限保持一致。 如果不设置policy参数，即不使用临时策略，则获取的临时访问密钥具有与IAM用户相同的权限。 如果设置了policy参数，即使用了临时策略，则获取的临时访问密钥的权限在IAM用户原有权限的基础上，进一步约束在设置的临时策略以内。 如下图，“1”代表了IAM用户的原有权限，“2”为设置的临时策略所对应的临时权限，两个权限的交集“3”即为使用者最终的有效权限。 图1 IAM用户权限和临时权限交集 临时访问密钥遵循权限最小化原则，建议在IAM用户原有权限范围内配置临时策略，以免在使用时产生配置了临时策略却没有对应权限的疑惑。如下图所示，使用者最终的有效权限即为设置的临时权限。 图2 临时权限设置在IAM用户权限范围内 临时策略的权限判断同样遵循Deny优先的原则，对于未设置的权限则默认拒绝。 设置临时策略时，因不设置的权限将默认拒绝，所以建议只设置显式的Allow权限即可。

临时访问密钥 OBS可以通过IAM获取临时访问密钥（临时AK，SK和securitytoken）进行临时授权访问。通过使用临时AK，SK和securitytoken，您可以为第三方应用或IAM用户颁发一个自定义时效和权限的访问凭证。 您可以通过调用IAM的获取临时AK/SK和securitytoken接口获取临时AK/SK和securitytoken。 临时AK/SK和securitytoken遵循权限最小化原则，可应用于临时访问OBS等。使用临时AK/SK调用API鉴权时，临时AK/SK和securitytoken必须同时使用，请求头中需要添加“x-obs-security-token”字段。 临时访问密钥相比IAM用户的永久访问密钥的优势主要有两点： 临时访问密钥的有效时间为15min至24h，不必暴露出IAM用户的永久密钥，降低了账号泄露带来的安全风险。 在获取临时访问密钥时，通过传入policy参数设置临时权限来进一步约束使用者的权限范围，方便IAM用户对使用者的权限进一步管理。 具体使用方法，参考用户签名验证。

应用场景 临时访问密钥主要用于授权第三方临时访问OBS服务。例如，部分企业拥有自己的用户管理系统，用户管理系统中的用户包括终端APP用户、企业本地用户等，这部分用户并不具有IAM用户的权限，通过授予其临时访问密钥来访问OBS。 典型场景如下： 某企业拥有大量的终端APP，终端APP都需要拥有访问OBS服务的能力，不同的终端APP可能代表着不同的终端用户，不同的终端用户需要拥有不同的访问权限。该场景便可使用临时访问密钥访问OBS服务。 图3 临时访问密钥使用场景 用户服务器可配置IAM用户的永久访问密钥，由该用户服务器向IAM请求，为不同的终端APP生成不同的临时访问密钥。 IAM用户调用IAM的获取临时AK/SK和securitytoken接口获取临时AK/SK和securitytoken。在调用该接口时，传入policy参数来设置临时策略，例如： { "auth": { "identity": { "methods": [ ... ... ], "policy": { ... ... } } } } 其中policy的语义与格式和IAM权限相同，相关授权项参考权限及授权项说明。 IAM根据传入的policy内容以及有效时间来生成拥有不同权限和不同有效期的临时访问密钥并返回给用户服务器。 用户服务器将临时访问密钥分发给对应权限的终端APP。 终端APP可通过临时访问密钥使用OBS SDK或API访问OBS服务，因临时凭据的有效时间较短，终端APP需及时向用户服务器请求更新临时访问密钥。

通过永久访问密钥访问OBS OBS的REST接口既支持认证请求，也支持匿名请求。匿名请求通常仅用于需要公开访问的场景，例如静态网站托管。除此之外，绝大多数场景是需要经过认证的请求才可以访问成功。经过认证的请求总是需要包含一个签名值，该签名值以请求者的访问密钥（AK/SK）作为加密因子、结合请求体携带的特定信息计算而成。计算签名的过程已经包含在SDK中，使用者只需将访问密钥在SDK初始化阶段设置好即可，无需关心签名计算的具体实现。但是，如果客户端选择通过REST API自行开发程序对接OBS，则需要按照OBS定义的签名算法来计算签名并添加到请求中。 用户可以在“我的凭证”页面创建永久访问密钥（AK/SK）。 Access Key Id（AK）：访问密钥ID。与私有访问密钥关联的唯一标识符；访问密钥ID和私有访问密钥一起使用，对请求进行加密签名。 Secret Access Key（SK）：与访问密钥ID结合使用的私有访问密钥，对请求进行加密签名，可标识发送方，并防止请求被修改。 AK可唯一标识公有云IAM用户，OBS根据AK/SK确认请求者身份，并进行权限检查。 获取永久访问密钥的方法，请参见获取访问密钥（AK/SK）。 父主题： 请求方式介绍

ACL权限 桶ACL的访问权限如表2所示： 表2 桶ACL访问权限 权限 选项 描述 桶访问权限 读取权限 此权限可以获取该桶内对象列表和桶的元数据。 写入权限 此权限可以上传、覆盖和删除该桶内任何对象。 对象权限 对象读权限 此权限可以获取该桶内对象的内容和对象的元数据。 说明： 仅支持给除匿名用户和日志投递用户组之外的用户配置该权限。 ACL访问权限 读取权限 此权限可以获取对应的桶的权限控制列表。 桶的拥有者默认永远具有ACL的读取权限。 写入权限 此权限可以更新对应桶的权限控制列表。 桶的拥有者默认永远具有ACL的写入权限。 对象ACL的访问权限如表3所示： 表3 对象ACL访问权限 权限 选项 描述 对象访问权限 读取权限 此权限可以获取该对象内容和元数据。 ACL访问权限 读取权限 此权限可以获取对应的对象的权限控制列表。 对象的拥有者默认永远具有ACL的读取权限 写入权限 此权限可以更新对象的权限控制列表。 对象的拥有者默认永远具有ACL的写入权限。 每一次对桶/对象的授权操作都将覆盖桶/对象已有的权限列表，而不会对其新增权限。

使用头域设置ACL 权限控制策略 OBS支持在创建桶或上传对象时通过头域设置桶或对象的权限控制策略（使用示例见创桶请求示例，对象上传请求示例），其设置的权限控制策略只能选择预定义的几种策略。其中，x-obs-acl比较特殊，可以设置六种权限，这六种权限对桶或对象的Owner不产生影响，即Owner拥有完全控制的权限。其详细情况如下图所示。 表4 OBS预定义的权限控制策略 预定义的权限控制策略 描述 private 桶或对象的所有者拥有完全控制的权限，其他任何人都没有访问权限。 public-read 设在桶上，所有人可以获取该桶内对象列表、桶内多段任务、桶的元数据。 设在对象上，所有人可以获取该对象内容和元数据。 public-read-write 设在桶上，所有人可以获取该桶内对象列表、桶内多段任务、桶的元数据、上传对象、删除对象、初始化段任务、上传段、合并段、拷贝段、取消多段上传任务。 设在对象上，所有人可以获取该对象内容和元数据。 public-read-delivered 设在桶上，所有人可以获取该桶内对象列表、桶内多段任务、桶的元数据，可以获取该桶内对象的内容和元数据。 不能应用在对象上。 public-read-write-delivered 设在桶上，所有人可以获取该桶内对象列表、桶内多段任务、桶的元数据、上传对象、删除对象、初始化段任务、上传段、合并段、拷贝段、取消多段上传任务，可以获取该桶内对象的内容和元数据。 不能应用在对象上。 bucket-owner-full-control 设在对象上，桶和对象的所有者拥有对象的完全控制权限，其他任何人都没有访问权限。 默认情况下，上传对象至其他用户的桶中，桶拥有者没有对象的控制权限。对象拥有者为桶拥有者添加此权限控制策略后，桶所有者可以完全控制对象。 例如，用户A上传对象x至用户B的桶中，系统默认用户B没有对象x的控制权。当用户A为对象x设置bucket-owner-full-control策略后，用户B就拥有了对象x的控制权。 系统默认权限控制策略为private权限。 在创建桶或上传对象时，可以用来设置权限控制策略的其他头域如下所示： 表5 通过头域设置桶或对象ACL的头域格式 头域 含义 x-obs-grant-read 授权给指定domain下的所有用户有READ权限。 x-obs-grant-write 授权给指定domain下的所有用户有WRITE权限。 x-obs-grant-read-acp 授权给指定domain下的所有用户有READ_ACP权限。 x-obs-grant-write-acp 授权给指定domain下的所有用户有WRITE_ACP权限。 x-obs-grant-full-control 授权给指定domain下的所有用户有FULL_CONTROL权限。 x-obs-grant-read-delivered 授权给指定domain下的所有用户有对桶和桶内对象的READ权限，且对象继承桶权限。 不能应用在对象上。 x-obs-grant-full-control-delivered 授权给指定domain下的所有用户有对桶和桶内对象的FULL_CONTROL权限，且对象继承桶权限。 不能应用在对象上。

桶策略 桶策略是作用于所配置的OBS桶及桶内对象的。OBS桶拥有者通过桶策略可为IAM用户或其他账号授权桶及桶内对象的操作权限。 创建桶和获取桶列表这两个服务级的操作权限，需要通过IAM权限配置。 由于缓存的存在，配置桶策略后，最长需要等待5分钟策略才能生效。 桶策略模板： OBS控制台预置了八种常用典型场景的桶策略模板，用户可以使用模板创建桶策略，快速完成桶策略配置。 选择使用模板创建时，部分模板需要指定被授权用户或资源范围，您也可以在原模板基础上修改被授权用户、资源范围、模板动作以及增加桶策略执行的条件。 表1 桶策略模板 被授权用户 授权资源 模板名称 模板动作 高级设置 所有账号 整个桶（包括桶内对象） 公共读 允许所有账号（所有互联网用户）对整个桶及桶内所有对象执行以下动作： HeadBucket（判断桶是否存在、获取桶元数据） GetBucketLocation（获取桶位置） GetObject（获取对象内容、获取对象元数据） RestoreObject（恢复归档存储对象） GetObjectVersion（获取指定版本对象内容、获取指定版本对象元数据） 不支持排除以上授权操作 公共读写 允许所有账号（所有互联网用户）对整个桶及桶内所有对象执行以下动作： ListBucket（列举桶内对象、获取桶元数据） ListBucketVersions（列举桶内多版本对象） HeadBucket（判断桶是否存在、获取桶元数据） GetBucketLocation（获取桶位置） PutObject（PUT上传，POST上传，上传段，初始化上传段任务，合并段） GetObject（获取对象内容、获取对象元数据） ModifyObjectMetaData（修改对象元数据） ListBucketMultipartUploads（列举多段上传任务） ListMultipartUploadParts（列举已上传段） AbortMultipartUpload（取消多段上传任务） RestoreObject（恢复归档存储对象） GetObjectVersion（获取指定版本对象内容、获取指定版本对象元数据） PutObjectAcl（设置对象ACL） GetObjectVersionAcl（获取指定版本对象ACL） GetObjectAcl（获取对象ACL） 不支持排除以上授权操作 当前账号/其他账号/委托账号 整个桶（包括桶内对象） 桶只读 允许指定账号对整个桶及桶内所有对象执行以下动作： Get*（所有获取操作） List*（所有列举操作） HeadBucket（判断桶是否存在、获取桶元数据） 不支持排除以上授权操作 桶读写 允许指定账号对整个桶及桶内所有对象执行除以下动作以外的所有动作： DeleteBucket（删除桶） PutBucketPolicy（设置桶策略） PutBucketAcl（设置桶ACL） 排除以上授权操作 所有账号/当前账号/其他账号/委托账号 当前桶+指定对象 目录只读 允许所有账号（所有互联网用户）或指定账号对当前桶和桶内指定资源执行以下动作： GetObject（获取对象内容、获取对象元数据） GetObjectVersion（获取指定版本对象内容、获取指定版本对象元数据） GetObjectVersionAcl（获取指定版本对象ACL） GetObjectAcl（获取对象ACL） RestoreObject（恢复归档存储对象） HeadBucket（判断桶是否存在、获取桶元数据） GetBucketLocation（获取桶位置） 说明： 被授权用户选择“所有账号”时，模板动作中不包含ListBucket、ListBucketVersions。 不支持排除以上授权操作 目录读写 允许所有账号（所有互联网用户）或指定账号对当前桶和桶内指定资源执行以下动作： PutObject（PUT上传，POST上传，上传段，初始化上传段任务，合并段） GetObject（获取对象内容、获取对象元数据） GetObjectVersion（获取指定版本对象内容、获取指定版本对象元数据） ModifyObjectMetaData（修改对象元数据） ListBucketMultipartUploads（列举多段上传任务） ListMultipartUploadParts（列举已上传段） AbortMultipartUpload（取消多段上传任务） GetObjectVersionAcl（获取指定版本对象ACL） GetObjectAcl（获取对象ACL） PutObjectAcl（设置对象ACL） RestoreObject（恢复归档存储对象） ListBucket（列举桶内对象、获取桶元数据） ListBucketVersions（列举桶内多版本对象） HeadBucket（判断桶是否存在、获取桶元数据） GetBucketLocation（获取桶位置） 不支持排除以上授权操作 所有账号/当前账号/其他账号/委托账号 指定对象 对象只读 允许所有账号（所有互联网用户）或指定账号对桶内指定资源执行以下动作： GetObject（获取对象内容、获取对象元数据） GetObjectVersion（获取指定版本对象内容、获取指定版本对象元数据） GetObjectVersionAcl（获取指定版本对象ACL） GetObjectAcl（获取对象ACL） RestoreObject（恢复归档存储对象） 不支持排除以上授权操作 对象读写 允许所有账号（所有互联网用户）或指定账号对桶内指定资源执行以下动作： PutObject（PUT上传，POST上传，上传段，初始化上传段任务，合并段） GetObject（获取对象内容、获取对象元数据） GetObjectVersion（获取指定版本对象内容、获取指定版本对象元数据） ModifyObjectMetaData（修改对象元数据） ListMultipartUploadParts（列举已上传段） AbortMultipartUpload（取消多段上传任务） GetObjectVersionAcl GetObjectAcl（获取对象ACL） PutObjectAcl（设置对象ACL） RestoreObject（恢复归档存储对象） 不支持排除以上授权操作 自定义桶策略： 你也可以根据实际业务场景的定制化需求，不使用预置桶策略模板，自定义创建桶策略。自定义桶策略由效力、被授权用户、资源、动作和条件5个桶策略基本元素共同决定。详细请参见OBS权限控制要素。

桶策略样例 示例1：向IAM用户授予指定桶中所有对象的指定操作权限 以下示例策略向账号b4bf1b36d9ca43d984fbcb9491b6fce9（账号ID）下的用户ID为71f3901173514e6988115ea2c26d1999的IAM用户授予PutObject和PutObjectAcl权限。 { "Statement":[ { "Sid":"AddCannedAcl", "Effect":"Allow", "Principal": {"ID": ["domain/b4bf1b36d9ca43d984fbcb9491b6fce9:user/71f3901173514e6988115ea2c26d1999"]}, "Action":["PutObject","PutObjectAcl"], "Resource":["examplebucket/*"] } ] } 示例2：向IAM用户授予指定桶的所有操作权限 以下示例策略向账号b4bf1b36d9ca43d984fbcb9491b6fce9（账号ID）下的用户ID为71f3901173514e6988115ea2c26d1999的IAM用户授予examplebucket的所有操作权限（包含桶操作与对象操作）。 { "Statement":[ { "Sid":"test", "Effect":"Allow", "Principal": {"ID": ["domain/b4bf1b36d9ca43d984fbcb9491b6fce9:user/71f3901173514e6988115ea2c26d1999"]}, "Action":["*"], "Resource":[ "examplebucket/*", "examplebucket" ] } ] } 示例3：向OBS用户授予除删除对象外的所有对象操作权限 以下示例策略向账号b4bf1b36d9ca43d984fbcb9491b6fce9（账号户ID）下的用户ID为71f3901173514e6988115ea2c26d1999的IAM用户授予examplebucket除删除对象外的所有对象操作权限。 { "Statement":[ { "Sid":"test1", "Effect":"Allow", "Principal": {"ID": ["domain/b4bf1b36d9ca43d984fbcb9491b6fce9:user/71f3901173514e6988115ea2c26d1999"]}, "Action":["*"], "Resource":["examplebucket/*"] }, { "Sid":"test2", "Effect":"Deny", "Principal": {"ID": ["domain/b4bf1b36d9ca43d984fbcb9491b6fce9:user/71f3901173514e6988115ea2c26d1999"]}, "Action":["DeleteObject"], "Resource":["examplebucket/*"] } ] } 示例4：向所有账号授予指定对象的只读权限 下面的示例策略向所有账号授予examplebucket桶中exampleobject的GetObject（下载对象）权限。此权限允许任何人读取对象exampleobject的数据。 { "Statement":[ { "Sid":"AddPerm", "Effect":"Allow", "Principal": "*", "Action":["GetObject"], "Resource":["examplebucket/exampleobject"] } ] } 示例5：限制对特定IP地址的访问权限 以下示例向任何用户授予对指定桶中的对象执行任何OBS操作的权限。但是，请求必须来自条件中指定的IP地址范围。此语句的条件确定允许的IP地址范围为192.168.0.*，只有一个例外：192.168.0.1。 Condition块使用IpAddress和NotIpAddress条件以及SourceIp条件键（这是OBS范围的条件键）。另请注意SourceIp值使用RFC 4632中描述的CIDR表示法。 { "Statement": [ { "Sid": "IPAllow", "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "examplebucket/*", "Condition": { "IpAddress": {"SourceIp": "192.168.0.0/24"}, "NotIpAddress": {"SourceIp": "192.168.0.1/32"} } } ] }

对象策略 对象策略即为桶策略中针对对象的策略，桶策略中针对对象的策略是通过配置资源来实现对象匹配的，资源可配置“*”（表示所有对象）或对象前缀（表示对象集）。对象策略则是直接选定对象后，配置到选定的对象资源的策略。 对象策略模板： OBS控制台预置了两种常用典型场景的对象策略模板，用户可以使用模板创建对象策略，快速完成对象策略配置。 选择使用模板创建时，部分模板需要指定被授权用户，您也可以在原模板基础上修改被授权用户、模板动作以及增加对象策略执行的条件。资源范围即为所需配置对象策略的对象，系统自动指定，无需修改。 表2 对象策略模板 被授权用户 授权资源 模板名称 模板动作 高级设置 所有账号/当前账号/其他账号/委托账号 指定对象 对象只读 允许所有账号（所有互联网用户）或指定账号对桶内指定资源执行以下动作： GetObject（获取对象内容、获取对象元数据） GetObjectVersion（获取指定版本对象内容、获取指定版本对象元数据） GetObjectVersionAcl（获取指定版本对象ACL） GetObjectAcl（获取对象ACL） RestoreObject（恢复归档存储对象） 不支持排除以上授权操作 对象读写 允许所有账号（所有互联网用户）或指定账号对桶内指定资源执行以下动作： PutObject（PUT上传，POST上传，上传段，初始化上传段任务，合并段） GetObject（获取对象内容、获取对象元数据） GetObjectVersion（获取指定版本对象内容、获取指定版本对象元数据） ModifyObjectMetaData（修改对象元数据） ListMultipartUploadParts（列举已上传段） AbortMultipartUpload（取消多段上传任务） GetObjectVersionAcl GetObjectAcl（获取对象ACL） PutObjectAcl（设置对象ACL） RestoreObject（恢复归档存储对象） 不支持排除以上授权操作 自定义对象策略： 你也可以根据实际业务场景的定制化需求，不使用预置对象策略模板，自定义创建对象策略。自定义对象策略由效力、被授权用户、资源、动作和条件5个桶策略基本元素共同决定，与桶策略类似，详细请参见桶策略参数说明。其中资源为已选择的对象，系统自动配置。

策略结构&语法 策略结构包括：Version（策略版本号）和Statement（策略权限语句），其中Statement可以有多个，表示不同的授权项。 图1 策略结构 策略语法，示例： { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "obs:bucket:HeadBucket", "obs:bucket:ListBucket", "obs:bucket:GetBucketLocation" ], "Resource": [ "obs:*:*:bucket:*" ], "Condition": { "StringEndWithIfExsits": { "g:UserName": ["specialCharacter"] }, "Bool": { "g:MFAPresent": ["true"] } } } ] } 表3 策略语法参数 参数 说明 Version 标识策略的版本号： 1.0：RBAC策略。RBAC策略是将服务作为一个整体进行授权，授权后，用户可以拥有这个服务的所有权限。 1.1：细粒度策略。相比RBAC策略，细粒度策略基于服务的API接口进行权限拆分，授权更加精细，可以精确到具体操作和具体资源。例如：您可以限制子用户只能访问某一个OBS桶中某一个目录下的对象。 Statement 策略授权语句，描述策略的详细信息，包含Effect（效果）、Action（动作）、Resource（资源）和Condition（条件）。其中Resource和Condition为可选。 Effect（效果） 作用包含两种：Allow（允许）和Deny（拒绝），系统预置策略仅包含允许的授权语句，自定义策略中可以同时包含允许和拒绝的授权语句，当策略中既有允许又有拒绝的授权语句时，遵循Deny优先的原则。 Action（动作） 对资源的具体操作权限，格式为：服务名:资源类型:操作，支持单个或多个操作权限，支持通配符号*，通配符号表示所有。OBS只有两种资源类型：bucket和object。 详细的Action描述请参见桶相关授权项和对象相关授权项。 Resource（资源） 策略所作用的资源，格式为：服务名:region:domainId:资源类型:资源路径，支持通配符号*，通配符号表示所有。在JSON视图中，不带Resource表示对所有资源生效。 Resource支持以下字符：-_0-9a-zA-Z*./\，如果Resource中包含不支持的字符，请采用通配符号*。 OBS是全局级服务，region填“*”；domainId表示资源拥有者的账号ID，建议填写“*”简单地表示所填资源的账号ID。 示例： "obs:*:*:bucket:*": 表示所有的OBS桶。 "obs:*:*:object:my-bucket/my-object/*": 表示桶my-bucket中“my-object”目录下的所有对象。 Condition（条件） 您可以在创建自定义策略时，通过Condition元素来控制策略何时生效。Condition包括条件键和运算符，条件键表示策略语句的Condition元素，分为全局级条件键和服务级条件键。全局级条件键（前缀为g:）适用于所有操作，服务级条件键（前缀为服务缩写，如obs:）仅适用于对应服务的操作。运算符与条件键一起使用，构成完整的条件判断语句。 OBS通过IAM预置了一组条件键，例如，您可以先使用obs:SourceIp条件键检查请求者的IP地址，然后再允许执行操作。 OBS支持的条件键和运算符与桶策略的Condition一致，在IAM配置时需要在前面加上“obs:”。详细的Condition介绍请参见桶策略参数说明。 Condition的条件值仅支持以下字符：-,./ a-zA-Z0-9_@#$%&，如果条件值中包含不支持的字符，请考虑使用模糊匹配的条件运算符，如：StringMatch等。 示例： "StringEndWithIfExists":{"g:UserName":["specialCharacter"]}：表示当用户输入的用户名以"specialCharacter"结尾时该条statement生效。 "StringLike":{"obs:prefix":["private/"]}：表示在列举桶内对象时，需要指定prefix为private/或者包含private/这一子字符串。 Resource（资源）级别细粒度授权特性会逐步在各个区域上线，需要使用该特性时请确保桶所在区域已经支持。 使用Resource（资源）级别细粒度授权特性前，请提交工单到OBS，申请开通Resource（资源）级别细粒度授权特性白名单。

OBS自定义策略样例 示例1：给用户授予OBS的所有权限 此策略表示用户可以对OBS进行任何操作，使用方式包括API、SDK、控制台及工具。 由于用户登录OBS控制台时，会访问一些其他服务的资源，如 CTS 审计信息， CDN加速 域名，KMS密钥等。因此除了配置OBS的权限外，还需要配置其他服务的访问权限。其中CDN属于全局服务，CTS、KMS等属于区域级服务，需要根据您实际使用到的服务和区域分别在全局项目和对应区域项目中配置Tenant Guest权限。 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "obs:*:*" ] } ] } 示例2：给用户授予桶的只读权限（不限定目录） 此策略表示用户可以对桶obs-example下的所有对象进行列举和下载。 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "obs:object:GetObject", "obs:bucket:ListBucket" ], "Resource": [ "obs:*:*:object:obs-example/*", "obs:*:*:bucket:obs-example" ] } ] } 示例3：给用户授予桶的只读权限（限定目录） 此策略表示用户只能下载桶obs-example中“my-project/”目录下的所有对象，其他目录下的对象虽然可以列举，但无法下载。 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "obs:object:GetObject", "obs:bucket:ListBucket" ], "Resource": [ "obs:*:*:object:obs-example/my-project/*", "obs:*:*:bucket:obs-example" ] } ] } 示例4：给用户授予桶的读写权限（限定目录） 此策略表示用户可以对桶obs-example中“my-project”目录下的所有的对象进行列举、下载、上传和删除。 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "obs:object:GetObject", "obs:object:ListMultipartUploadParts", "obs:bucket:ListBucket", "obs:object:DeleteObject", "obs:object:PutObject" ], "Resource": [ "obs:*:*:object:obs-example/my-project/*", "obs:*:*:bucket:obs-example" ] } ] } 示例5：给用户授予桶的所有权限 此策略表示用户可以对桶obs-example进行任何操作。 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "obs:*:*" ], "Resource": [ "obs:*:*:bucket:obs-example", "obs:*:*:object:obs-example/*" ] } ] } 示例6：拒绝用户上传对象 拒绝策略需要同时配合其他策略使用，否则没有实际作用。用户被授予的策略中，一个授权项的作用如果同时存在Allow和Deny，则遵循Deny优先原则。 如果您给用户授予OBS OperateAccess的系统策略，但不希望用户拥有OBS OperateAccess中定义的上传对象的权限，您可以创建一条拒绝上传对象的自定义策略，然后同时将OBS OperateAccess和拒绝策略授予用户，根据Deny优先原则，则用户可以执行除了上传对象外OBS OperateAccess允许的所有操作。拒绝策略示例如下： { "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "obs:object:PutObject" ] } ] } 示例7：给用户授予指定桶的修改桶存储类别权限以及桶内指定对象的删除权限 此策略表示用户可以对桶obs-example进行修改桶存储类别，以及对桶obs-example中“my-object.txt”对象进行删除。 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "obs:bucket:ListAllMyBuckets", "obs:bucket:ListBucket" ] }, { "Effect": "Allow", "Action": [ "obs:object:DeleteObject", "obs:bucket:PutBucketStoragePolicy" ], "Resource": [ "OBS:*:*:object:obs-example/my-object.txt", "OBS:*:*:bucket:obs-example" ] } ] }

IAM权限简介 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略和角色，才能使得用户组中的用户获得策略定义的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 对于OBS，IAM权限作用于OBS所有的桶和对象。如果要授予IAM用户操作OBS资源的权限，则需要向IAM用户所属的用户组授予一个或多个OBS权限。 OBS部署时不区分物理区域，为全局级服务。授权时，在全局级服务中设置权限，访问OBS时，不需要切换区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对OBS服务，管理员能够控制IAM用户仅能对某一个桶资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分，OBS支持的API授权项请参见权限和授权项说明。 由于缓存的存在，对用户、用户组以及企业项目授予OBS相关的角色和策略后，大概需要等待10~15分钟权限才能生效。 IAM中为各云服务预置了系统权限，方便您快速完成基础权限配置，表1为OBS的所有系统权限。 如果系统预置的OBS权限，不满足您的授权要求，可以创建自定义策略。自定义策略中可以添加的授权项（Action）请参考桶相关授权项和对象相关授权项。 表1 OBS系统权限 系统角色/策略名称 描述 类别 依赖关系 Tenant Administrator 拥有该权限的用户拥有除IAM外，其他所有服务的所有执行权限。 系统角色 无 Tenant Guest 拥有该权限的用户拥有除IAM外，其他所有服务的只读权限。 系统角色 无 OBS Administrator 拥有该权限的用户为OBS管理员，可以对账号下的所有OBS资源执行任意操作。 系统角色 无 OBS Buckets Viewer 拥有该权限的用户可以执行列举桶、获取桶基本信息、获取桶元数据的操作。 系统角色 无 OBS ReadOnlyAccess 拥有该权限的用户可以执行列举桶、获取桶基本信息、获取桶元数据、列举对象（不包含多版本）的操作。 说明： 拥有该权限的用户如果在控制台上列举对象失败，可能是因为桶中存在多版本对象。此时需要额外授予该用户列举多版本对象的权限（obs:bucket:ListBucketVersions），才能在控制台正常看到对象列表。 系统策略 无 OBS OperateAccess 拥有该权限的用户可以执行OBS ReadOnlyAccess的所有操作，在此基础上还可以执行上传对象、下载对象、删除对象、获取对象ACL等对象基本操作。 说明： 拥有该权限的用户如果在控制台上列举对象失败，可能是因为桶中存在多版本对象。此时需要额外授予该用户列举多版本对象的权限（obs:bucket:ListBucketVersions），才能在控制台正常看到对象列表。 系统策略 无 下表列出了OBS常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表2 OBS操作与资源权限关系 操作名称 Tenant Administrator Tenant Guest OBS Administrator OBS Buckets Viewer OBS ReadOnlyAccess OBS OperateAccess 列举桶 可以 可以 可以 可以 可以 可以 创建桶 可以 不可以 可以 不可以 不可以 不可以 删除桶 可以 不可以 可以 不可以 不可以 不可以 获取桶基本信息 可以 可以 可以 可以 可以 可以 获取桶监控数据 可以 可以 可以 不可以 不可以 不可以 管理桶访问权限 可以 不可以 可以 不可以 不可以 不可以 管理桶策略 可以 不可以 可以 不可以 不可以 不可以 修改桶存储类别 可以 不可以 可以 不可以 不可以 不可以 列举对象 可以 可以 可以 不可以 可以 可以 列举多版本对象 可以 可以 可以 不可以 不可以 不可以 上传文件 可以 不可以 可以 不可以 不可以 可以 新建文件夹 可以 不可以 可以 不可以 不可以 可以 删除文件 可以 不可以 可以 不可以 不可以 可以 删除文件夹 可以 不可以 可以 不可以 不可以 可以 下载文件 可以 可以 可以 不可以 不可以 可以 删除多版本文件 可以 不可以 可以 不可以 不可以 可以 下载多版本文件 可以 可以 可以 不可以 不可以 可以 修改对象存储类别 可以 不可以 可以 不可以 不可以 不可以 恢复文件 可以 不可以 可以 不可以 不可以 不可以 取消删除文件 可以 不可以 可以 不可以 不可以 可以 删除碎片 可以 不可以 可以 不可以 不可以 可以 管理对象访问权限 可以 不可以 可以 不可以 不可以 不可以 设置对象元数据 可以 不可以 可以 不可以 不可以 不可以 获取对象元数据 可以 可以 可以 不可以 不可以 可以 管理多版本控制 可以 不可以 可以 不可以 不可以 不可以 管理日志记录 可以 不可以 可以 不可以 不可以 不可以 管理事件通知 可以 不可以 可以 不可以 不可以 不可以 管理标签 可以 不可以 可以 不可以 不可以 不可以 管理生命周期规则 可以 不可以 可以 不可以 不可以 不可以 管理静态网站托管 可以 不可以 可以 不可以 不可以 不可以 管理CORS规则 可以 不可以 可以 不可以 不可以 不可以 管理防盗链 可以 不可以 可以 不可以 不可以 不可以 域名管理 可以 不可以 可以 不可以 不可以 不可以 管理跨区域复制 可以 不可以 可以 不可以 不可以 不可以 管理图片处理 可以 不可以 可以 不可以 不可以 不可以 追加写对象 可以 不可以 可以 不可以 不可以 可以 设置对象ACL 可以 不可以 可以 不可以 不可以 不可以 设置指定版本对象ACL 可以 不可以 可以 不可以 不可以 不可以 获取对象ACL 可以 可以 可以 不可以 不可以 可以 获取指定版本对象ACL 可以 可以 可以 不可以 不可以 可以 多段上传 可以 不可以 可以 不可以 不可以 可以 列举已上传段 可以 可以 可以 不可以 不可以 可以 取消多段上传任务 可以 不可以 可以 不可以 不可以 可以

IAM权限、桶策略和ACL如何选择？ 基于三者的优劣势对比，通常情况下推荐您优先使用IAM权限和桶策略： 以下情况使用IAM权限： 要对同账号下的IAM用户授予权限时 要给所有OBS资源或者多个桶配置相同权限时 要配置OBS服务级权限时，如创建桶、列举桶 临时授权访问OBS时，限制临时访问密钥的权限 以下情况使用桶策略： 要进行跨账号授权或对所有用户授权时 无论选择哪种方式，建议尽可能保持统一。随着IAM权限和桶策略数量的增加，权限维护难度将越来越大。

访问控制机制冲突时，如何工作？ OBS权限控制要素中，Effect（效力）包含两种：Allow（允许）和Deny（拒绝），分别表示允许或拒绝执行某操作的权限。 基于最小权限原则，权限控制策略的结果默认为Deny， 显式的Deny始终优先于Allow。例如，IAM权限授权了用户访问对象的权限，但是桶策略拒绝了该用户访问对象的权限，且没有ACL时，该用户不能访问对象。 没有策略授予Allow权限时，默认情况即为Deny权限。当有策略授权Allow权限，且没有其他策略Deny该权限时，Allow的权限才能生效。例如，某个桶已经存在多条Allow权限的桶策略，再新增Allow权限的桶策略，会在原权限的基础上进行叠加，增大用户的权限；如果新增Deny权限的桶策略，则会根据Deny优先原则调整用户的权限，即使Deny策略中定义的动作在其他桶策略中Allow。 图3 访问策略授权过程 同账号场景下，为当前华为云账号下的IAM用户授予OBS桶和桶内资源的访问权限，桶策略、IAM权限和ACL的Allow和Deny作用结果如图4所示。ACL是基于账号级别的读写权限控制，IAM用户在访问所属账号的桶和桶内资源时，不受ACL控制。 图4 同账号场景下桶策略、IAM权限的Allow和Deny作用结果 跨账号场景下，为其他华为云账号及账号下的IAM用户授予OBS桶和桶内资源的访问权限，桶策略、IAM权限和ACL的Allow和Deny作用结果如图5所示。 图5 跨账号场景下桶策略、IAM权限和ACL的Allow和Deny作用结果 当桶策略和IAM策略均为Default Deny，ACL设置为Allow时，由于ACL权限范围限制，最终的作用结果其实为Deny。ACL可以理解为对桶策略的一种补充。

相关概念 账号：用户注册华为云后自动创建，该账号对其所拥有的资源和IAM用户具有完全的访问控制权限。 IAM用户：由管理员在IAM中创建的用户，是云服务的使用者，对应员工、系统或应用程序，具有身份凭证（密码和访问密钥），可以登录管理控制台或者访问API。 匿名用户：未注册华为云的普通访客。 日志投递用户组：用于投递OBS桶及对象的访问日志。由于OBS本身不能在用户的桶中创建或上传任何文件，因此在需要为桶记录访问日志时，只能由用户授予日志投递用户组一定权限后，OBS才能将访问日志写入指定的日志存储桶中。该用户组仅用于OBS内部的日志记录。

OBS权限控制原则 最小权限原则 仅授予IAM用户或账号执行任务所需的最小权限。例如，一个IAM用户仅需执行向指定目录上传、下载对象任务，则无需为其配置整个桶的读写权限。 责任分离原则 同一账号下建议使用不同IAM用户分别管理OBS资源和权限。例如，IAM用户A负责权限分配，而其他IAM用户负责管理OBS资源。 条件限制原则 尽可能地为权限定义更精细化的条件，约束权限生效的场景，强化桶内资源的安全性。例如，约束OBS只接受来自某特定IP地址发起的访问请求。

OBS权限控制要素 OBS的权限控制模型中，以下几个要素共同决定了授权的结果： Principal（被授权用户） Effect（效力） Resource（资源） Action（动作） Condition（条件） 各个要素的详细介绍，请参见桶策略参数说明。 不同权限控制方式中各个要素的支持情况如表2所示。 表2 不同权限控制方式中的OBS权限控制要素 方式 被授权用户 支持的效力 被授权资源 被授权动作 是否支持配置条件 IAM权限 IAM用户 允许 拒绝 OBS所有资源或指定资源 OBS所有操作权限 支持 桶策略 账号 IAM用户 所有用户 允许 拒绝 指定桶及桶内资源 OBS所有操作权限 支持 对象ACL 账号 匿名用户 允许 对象 获取对象内容及元数据 获取指定版本对象内容及元数据 获取对象ACL相关信息 获取指定版本对象ACL相关信息 设置对象ACL 设置指定版本对象ACL 不支持 桶ACL 账号 匿名用户 日志投递用户组 允许 桶 判断桶是否存在 列举桶内对象，获取桶元数据 列举桶内多版本对象 列举多段上传任务 PUT上传，POST上传，上传段，初始化上传段任务，合并段 删除对象 删除特定版本的对象 获取桶ACL的相关信息 设置桶ACL 获取对象的内容 获取对象的元数据 不支持

OBS权限控制模型 OBS提供多种权限控制方式，包括IAM权限、桶策略、对象ACL、桶ACL。各个方式说明及应用场景如表1所示。 图1 OBS权限控制方式 表1 OBS权限控制方式说明和应用场景 方式 说明 应用场景 IAM权限 IAM权限是作用于云资源的，IAM权限定义了允许和拒绝的访问操作，以此实现云资源权限访问控制。管理员创建IAM用户后，需要将用户加入到一个用户组中，IAM可以对这个组授予OBS所需的权限，组内用户自动继承用户组的所有权限。 使用策略控制账号下整个云资源的权限时，使用IAM权限授权。 使用策略控制账号下OBS所有的桶和对象的权限时，使用IAM权限授权。 使用策略控制账号下OBS指定资源的权限时，使用IAM权限授权。 桶策略 桶策略是作用于所配置的OBS桶及桶内对象的。桶拥有者通过桶策略可为IAM用户或其他账号授权桶及桶内对象精确的操作权限，桶ACL和对象ACL是对桶策略的补充（更多场景下是替代）。 允许其他华为云账号访问OBS资源，可以使用桶策略的方式授权对应权限。 当不同的桶对于不同的IAM用户有不同的访问控制需求时，需使用桶策略分别授权IAM用户不同的权限。 对象ACL 基于账号或用户组的对象级访问控制，对象的拥有者可以通过对象ACL向指定账号或用户组授予对象基本的读、写权限。 说明： 默认情况下，创建对象时会同步创建ACL，授权对象拥有者拥有对象的完全控制权限。 对象的拥有者是上传对象的账号，而不是对象所属的桶的拥有者。例如，如果账号B被授予访问账号A的桶的权限，然后账号B上传一个文件到桶中，则账号B是对象的拥有者，而不是账号A。默认情况下，账号A没有该对象的访问权限，也无法读取和修改该对象的ACL。 需要对象级的访问权限控制时，桶策略可以授予对象或对象集访问权限，当授予一个对象集权限后，想对对象集中某一个对象再进行单独授权，通过配置桶策略的方法显然不太实际。此时建议使用对象ACL，使得单个对象的权限控制更加方便。 使用对象链接访问对象时。一般使用对象ACL，将某一个对象通过对象链接开放给匿名用户进行读取操作。 桶ACL 基于账号或用户组的桶级访问控制，桶的拥有者可以通过桶ACL向指定账号或用户组授予桶基本的读、写权限。 说明： 默认情况下，创建桶时会同步创建ACL，授权拥有者对桶的完全控制权限。 桶ACL的权限控制粒度不如IAM权限和桶策略，一般情况下，建议使用IAM权限和桶策略进行权限访问控制。 授予指定账号桶读取权限和桶写入权限，用以共享桶数据或挂载外部桶。比如，账号A授予账号B桶读取权限及桶写入权限后，账号B就可以通过OBS Browser+挂载外部桶、API&SDK等方式访问到该桶。 授予日志投递用户组桶写入权限，用以存储桶访问请求日志。

管理团队空间 系统管理员可以管理所有团队空间，部门管理员只能管理本部门的团队空间。 使用管理员账号登录KooDrive服务业务面。目前仅支持使用华为账号登录KooDrive服务业务面。 单击页面顶部“管理控制台”。 在左侧导航栏选择“空间管理”，在空间管理界面单击“部门空间”页签，界面展示部门空间列表。 参考表1对部门空间进行管理。未分配空间的部门，界面才展示“分配空间”操作。 表1 管理部门空间 操作 说明 分配部门空间 在部门空间列表搜索框中输入部门名称，支持模糊搜索。 在搜索结果列表中单击“操作”列“分配空间”。 在“分配空间”弹框中设置部门空间大小。 单击“仅不可删除”为添加的成员设置初始权限，注意：“仅不可删除”为默认权限设置，不同权限设置会显示不同权限名称。 单击“权限模板”选择已在权限模板中添加的自定义模板或系统预置模板，此外，也可以单击“自定义”来重新设定权限类型。 设置完成后单击“确定”。 注意：部门空间默认展示的空间大小为配置云空间实例时的团队空间默认大小，管理员可根据下方剩余企业空间大小的提示设置部门空间大小。分配的部门空间大小不能为0GB。管理员可勾选部门名称前的复选框（仅支持勾选一个部门分配空间），单击列表上方“分配空间”进行操作。 修改部门空间 在部门空间列表搜索框中输入部门名称，支持模糊搜索。 在搜索结果列表中单击“操作”列“修改容量”。 在“修改空间容量”弹框中重新设置部门空间容量。 设置完成后单击“确定”。 注意：管理员可根据下方剩余企业空间大小的提示重新设置团队空间大小。管理员可勾选部门名称前的复选框（仅支持勾选一个部门修改空间），单击列表上方“修改容量”进行操作。设置的部门空间大小不能小于当前部门空间已使用容量。 权限管理 在部门空间列表搜索框中输入部门名称，支持模糊搜索。 在搜索结果列表中单击“操作”列“权限管理”。 在“权限管理”弹框中可以通过选择权限类型或者输入用户名称快速搜索用户，勾选一个或多个用户，单击“修改权限”按钮。对于单一用户可以单击个人用户的编辑按钮。 单击“权限模板”选择已在权限模板中添加的自定义模板或系统预置模板，此外，也可以单击“自定义”来重新设定权限类型。 完成设置后，单击“确定”。 如果想了解关于权限类型的信息，可以单击界面右上角的“权限说明”查看详情。 禁用部门空间 在部门空间列表搜索框中输入待禁用的部门名称，支持模糊搜索。 在搜索结果列表中单击“操作”列“禁用空间”。 在“禁用空间”提示框中，了解禁用空间的影响后，如果确认要禁用空间，单击“确定”。 注意：禁用部门空间后，部门空间内的资源将暂时冻结，不可访问。管理员可勾选部门名称前的复选框，可选择多个，单击上方“禁用空间”批量禁用部门空间。 启用部门空间 在部门空间列表搜索框中输入待启用的部门名称，支持模糊搜索。 在搜索结果列表中单击“操作”列“启用空间”即可启用部门空间。管理员也可勾选部门名称前的复选框，可选择多个，单击上方“启用空间”批量启用部门空间。 删除部门空间 在部门空间列表搜索框中输入待删除的部门名称，支持模糊搜索。 在搜索结果列表单击中“操作”列“删除空间”。 在“删除空间”弹框中，了解删除空间的影响后。 如果已勾选的空间有资源文件时，在弹框中输入“确定删除”并勾选“我已知悉，强制删除”，然后单击“确定”。 如果已勾选的空间还未分配空间容量或已分配空间容量但空间无文件，单击“确定”。管理员也可勾选部门名称前的复选框，可选择多个，单击上方“删除空间”批量删除部门空间。注意 ：删除空间后将会删除该空间及其名下全部资源，请谨慎操作。建议迁移资源后再进行删除操作。

管理个人空间 系统管理员可以管理所有用户的个人空间，部门管理员只能管理本部门用户的个人空间。 使用管理员账号登录KooDrive服务业务面。目前仅支持使用华为账号登录KooDrive服务业务面。 单击页面顶部“管理控制台”。 在左侧导航栏选择“空间管理”，在空间管理界面单击“个人空间”页签，界面展示个人空间列表。 参考表2对个人空间进行管理。 表2 管理个人空间 操作 说明 分配个人空间 在个人空间列表上方下拉列表框中选择用户所属部门，在搜索框中输入用户名称，支持模糊搜索。 在搜索结果列表中单击“操作”列“分配空间”。 在“分配空间”弹框中设置个人空间大小，设置完成后单击“确定”。注意：分配的个人空间大小不能为0GB。 未分配空间的用户，界面才展示“分配空间”操作。个人空间默认展示的空间大小为配置云空间时的个人空间默认大小，管理员可根据下方剩余企业空间大小的提示设置个人空间大小。管理员也可勾选用户名称前的复选框（仅支持勾选一个用户分配空间），单击列表上方“分配空间”进行操作。 修改个人空间 在个人空间列表上方下拉列表框中选择用户所属部门，在搜索框中输入用户名称，支持模糊搜索。 在搜索结果列表中单击“操作”列“修改容量”。 在“修改空间容量”弹框中重新设置用户空间大小，设置完成后单击“确定”。注意：设置的个人空间大小不能小于当前个人空间已使用容量。 管理员可根据下方剩余空间大小的提示重新设置用户空间大小。管理员也可勾选用户名称前的复选框（仅支持勾选一个用户修改空间），单击列表上方“修改容量”进行修改操作。 禁用个人空间 在个人空间列表上方下拉列表框中选择用户所属部门，在搜索框中输入用户名称，支持模糊搜索。 在搜索结果列表中单击“操作”列“禁用空间”。 在“禁用空间”提示框中，了解禁用空间的影响后，如果确认要禁用空间，单击“确定”。 管理员也可勾选用户名称前的复选框，可选择多个，单击上方“禁用空间”批量禁用个人空间。 启用个人空间 在个人空间列表上方下拉列表框中选择用户所属部门，在搜索框中输入用户名称，支持模糊搜索。 在搜索结果列表中单击“操作”列“启用空间”即可启用个人空间。 管理员也可勾选用户名称前的复选框，可选择多个，单击上方“启用空间”批量启用个人空间。 删除个人空间 在个人空间列表上方下拉列表框中选择用户所属部门，在搜索框中输入用户名称，支持模糊搜索。 在搜索结果列表单击中“操作”列“删除空间”。 在“删除空间”弹框中，了解删除空间的影响后。 如果已勾选的空间有资源文件时，在弹框中输入“确定删除”并勾选“我已知悉，强制删除”，然后单击“确定”。 如果已勾选的空间还未分配空间容量或已分配空间容量但空间无文件，单击“确定”。 管理员也可勾选用户名称前的复选框，可选择多个，单击上方“删除空间”批量删除个人空间。 删除空间后将会删除该空间及其名下全部资源，请谨慎操作。建议迁移资源后再进行删除操作。

云硬盘扩容问题 云硬盘支持缩容或临时扩容吗 扩容云硬盘和创建新的云硬盘有什么区别 云硬盘扩容后数据是否会丢失 扩容后的云硬盘能否使用扩容前的备份或快照回滚数据 云硬盘扩容后是否需要重启云服务器 云硬盘扩容时需要先卸载吗 扩容后的云硬盘容量大于2TiB该如何处理 怎样为云硬盘的新增容量创建新分区（新增/dev/vdb2分区或E盘） 怎样将云硬盘新增容量添加到原有分区内（扩大/dev/vdb1分区或者D盘容量） 为什么扩容后云服务器内云硬盘容量没有变化 云硬盘扩容失败怎么办？ Linux系统扩容数据盘时，如何扩展未分区磁盘文件系统 如何扩展快速发放裸金属服务器的根分区大小

云硬盘挂载问题 为什么登录到云服务器后看不到已挂载的数据盘 云硬盘不支持挂载至云服务器怎么办 一块云硬盘可以挂载到多台云服务器上吗 云硬盘可以挂载至不同可用区的云服务器吗 怎样为云服务器增加数据盘（例如D盘或者dev/vdb1） 包年/包月云硬盘可以挂载给其他云服务器吗 不同类型的磁盘可以挂载在同一个云服务器上吗 系统盘和数据盘之间可以随意转换吗 Linux系统的云硬盘挂载至Windows系统后需如何处理 随包周期云服务器购买的云硬盘，可以挂载至其它包周期云服务器吗

查看云硬盘和云服务器是否位于同一可用区 问题现象：单击“挂载”后，在“挂载磁盘”页面找不到目标云服务器。 解决思路：云硬盘只能挂载至同一区域内同一可用区的云服务器，“挂载磁盘”页面的列表已筛选出符合条件的云服务器。 不再需要云硬盘内数据，直接删除或退订即可，然后购买与云服务器在同一个可用区的云硬盘进行挂载使用。 需要云硬盘内的数据，可通过以下方式在其他可用区创建一个具有相同数据的云硬盘。 通过云硬盘创建备份。 图1 创建备份 再从备份创建新的云硬盘，创建过程中可以为云硬盘重新选择“可用区”，同时您也可以修改“磁盘类型”和“高级配置”等参数。 图2 从备份创建云硬盘 创建完成后，单击“挂载”，在“挂载磁盘”页面即可找到目标云服务器。

挂载的云服务器数量已达到最大 问题现象：挂载按钮为灰色。 解决思路： 非共享云硬盘：单击挂载按钮提示“只有可用状态的磁盘才能挂载”。 非共享云硬盘只能挂载至一台云服务器，状态为“正在使用”说明已挂载，您可以先卸载云硬盘使状态变为“可用”，然后挂载至目标云服务器。 共享云硬盘：单击挂载按钮提示“共享盘最大挂载16个云服务器”。 共享云硬盘最多可挂载至16台云服务器，您可以根据业务情况，将云硬盘从某台云服务器卸载，然后挂载至目标云服务器。 卸载云硬盘的时候，您的数据是否会丢失，具体可参见卸载云硬盘时数据会丢失吗。 HE CS 服务器类型中的 L实例 不支持卸载云硬盘。

排查思路 以下排查思路根据原因的出现概率进行排序，建议您从高频率原因往低频率原因排查，从而帮助您快速找到问题的原因。 如果解决完某个可能原因仍未解决问题，请继续排查其他可能原因。 表1 排查思路 问题现象 可能原因及处理措施 在“挂载磁盘”页面找不到目标云服务器。 查看云硬盘和云服务器是否位于同一可用区。 ISO镜像创建的云服务器只建议用来装机，部分功能受限，不支持挂载云硬盘操作。 挂载按钮为灰色。 挂载的云服务器数量已达到最大。 查看云硬盘是否已加入到复制对。 挂载共享云硬盘提示操作系统类型不对。 解决方法请参考检查共享云硬盘挂载的多台云服务器操作系统是否一致。

包周期云硬盘存在未生效的续费订单 什么是未生效的续费订单？ 假设用户购买了包周期云硬盘，到期时间为2019年12月30日。 用户在2019年12月15日执行了续费操作，那么该续费订单在2019年12月30日前属于未生效续费订单。 问题现象：控制台右上角弹出提示“此资源有未生效的续费订单，不能做扩容操作。” 解决思路：首先需退订续费周期，然后扩容云硬盘，扩容成功后重新续费即可。 登录管理控制台，单击右上方的“费用”。 找到对应的订单，单击“操作”列下的“退订续费周期”进行退订。 退订完成后重新进入“云硬盘”页面进行扩容。 扩容成功后重新续费。

排查思路 以下排查思路根据原因的出现概率进行排序，建议您从高频率原因往低频率原因排查，从而帮助您快速找到问题的原因。 如果解决完某个可能原因仍未解决问题，请继续排查其他可能原因。 图1 排查思路 表1 原因分析 可能原因 处理措施 相关操作 包周期云硬盘存在未生效的续费订单 退订续费周期 扩容云硬盘 重新续费 包周期云硬盘存在未生效的续费订单 包周期云硬盘存在未支付的扩容订单 支付或取消扩容订单 包周期云硬盘存在未支付的扩容订单 共享云硬盘未从所有云服务器卸载 从所有云服务器卸载 共享云硬盘未从所有云服务器卸载 云耀云服务器仅支持单独扩容数据盘，不支持单独扩容系统盘。 通过升级整体实例规格扩容系统盘 升级云耀云服务器L实例。

使用限制 贵阳一区域：最新的版本因为支持新驱动，目前仅支持使用专属资源池（Snt9b2）。 乌兰一区域：支持使用公共资源池（Snt9b3）。 如果支持公共资源池，但是没开白名单，“资源池类型”选择“公共资源池”时，下方会出现提示：公共资源池暂未完全公开，如需申请使用，请联系与您对接的销售人员或拨打4000-955-988获得支持，您也可以在线提交售前咨询。 如果不支持公共资源池，“公共资源池”按钮会置灰，鼠标悬停时，会提示：该模型版本暂不支持公共资源池部署。

步骤三：在Chatbox中配置MaaS API 在Chatbox平台左下角，单击“设置”。 在“设置”对话框，单击模型提供方下拉框，选择“添加自定义提供方”，配置相关信息，单击“保存”。 图1 添加自定义提供方 表1 添加自定义提供方参数说明 参数 说明 API模式 默认为“OpenAI API兼容” 。 名称 填写“ModelArts Studio”，您可以自定义修改。 API域名 步骤二.2获取的API地址，需要去掉地址尾部的“/chat/completions” 后填入。 API路径 默认为“/chat/completions” 。 API密钥 步骤二.1创建的API Key。 模型 步骤二.2获取的模型名称。