华为云用户手册

关于密钥 加密所需的密钥依赖于 数据加密 服务（DEW，Data Encryption Workshop）。DEW通过数据加密密钥（Data Encryption Key，DEK），对具体资源进行加密，然后通过用户主密钥（Customer Master Key，CMK）对DEK进行加密，保护DEK，如图1所示。 图1 数据加密过程 数据加密过程中涉及的几种密钥，如表1所示。 表1 密钥说明 名称 概念 功能 数据加密密钥 即DEK，是用户加密数据的加密密钥。 加密具体资源。 自定义密钥 是用户通过DEW创建的密钥，是一种密钥加密密钥，主要用于加密并保护DEK。 一个自定义密钥可以加密多个DEK。 支持禁用、计划删除等操作。 默认密钥 属于用户主密钥，是用户第一次通过对应云服务使用DEW加密时，系统自动生成的，其名称后缀为“/default”。 例如：evs/default 支持通过管理控制台DEW页面查询默认密钥详情。 不支持禁用、计划删除等操作。 如果加密云硬盘使用的CMK被执行禁用或计划删除操作，操作生效后，使用该CMK加密的云硬盘仍然可以正常使用，但是，当该云硬盘被卸载并重新挂载至弹性云服务器时，由于无法正常获取密钥，会导致挂载失败，云硬盘不可用。 关于密钥管理的更多信息，请参见《数据加密服务用户指南》。

关于密钥 加密所需的密钥依赖于数据加密服务（DEW，Data Encryption Workshop）。DEW通过数据加密密钥（Data Encryption Key，DEK），对具体资源进行加密，然后通过用户主密钥（Customer Master Key，CMK）对DEK进行加密，保护DEK，如图1所示。 图1 数据加密过程 数据加密过程中涉及的几种密钥，如表1所示。 表1 密钥说明 名称 概念 功能 数据加密密钥 即DEK，是用户加密数据的加密密钥。 加密具体资源。 自定义密钥 是用户通过DEW创建的密钥，是一种密钥加密密钥，主要用于加密并保护DEK。 一个自定义密钥可以加密多个DEK。 支持禁用、计划删除等操作。 默认密钥 属于用户主密钥，是用户第一次通过对应云服务使用DEW加密时，系统自动生成的，其名称后缀为“/default”。 例如：evs/default 支持通过管理控制台DEW页面查询默认密钥详情。 不支持禁用、计划删除等操作。 如果加密云硬盘使用的CMK被执行禁用或计划删除操作，操作生效后，使用该CMK加密的云硬盘仍然可以正常使用，但是，当该云硬盘被卸载并重新挂载至弹性云服务器时，由于无法正常获取密钥，会导致挂载失败，云硬盘不可用。 关于密钥管理的更多信息，请参见《数据加密服务用户指南》。

问题现象 使用Linux私有镜像创建/切换服务器后，无法通过重置密码登录Flexus应用服务器 L实例 。Linux私有镜像的镜像源来自其他云平台的服务器或从第三方下载，通过此类私有镜像创建的Flexus应用服务器L实例可能因为未安装一键式密码重置插件而无法重置密码。 如果您知晓您的私有 镜像服务 器密码，请参考使用Linux私有镜像创建/切换Flexus L实例后，无法重置密码怎么办？（已知私有镜像初始密码）安装插件。 如果您遗忘了您的私有镜像服务器密码，请参见本节内容为私有镜像安装一键式密码重置插件，并为Flexus应用服务器L实例设置密码。 本节操作重置的是root用户的密码，您可以重置完root密码后登录云服务器后再重置非root用户的密码。

前提条件 使用待安装密码插件的私有镜像创建一台Linux操作系统的临时弹性云服务器A。 准备一台Linux操作系统的临时弹性云服务器B，且该临时弹性云服务器与弹性云服务器A位于同一个可用区。 请确保临时弹性服务器A/B和待安装一键式重置密码插件的Flexus应用服务器L实例均属于同一个区域。 您可以选择符合要求的已有弹性云服务器作为临时，也可以重新购买一台临时弹性云服务器。 重新购买的弹性云服务器在重置密码后，请及时释放，以免继续收费。 弹性云服务器B已经绑定弹性公网IP。

监控安全风险 EdgeSec已对接 云监控服务 （Cloud Eye， CES ），可以通过管理控制台，查看EdgeSec的相关指标，及时了解EdgeSec防护状况，并通过指标设置防护策略。CES服务是华为云为用户提供一个针对各种云上资源的立体化监控平台，用户通过 云监控 服务可以全面了解云上的资源使用情况、业务的运行状况，并及时收到异常告警做出反应，保证业务顺畅运行。 用户通过设置EdgeSec告警规则，可自定义监控目标与通知策略，告警规则包含名称、监控对象、监控指标、告警阈值、监控周期和是否发送通知等参数，帮助用户及时了解EdgeSec防护状况，从而起到预警作用。 父主题： 安全

DDoS攻击防护 边缘安全的DDoS攻击防护，基于先进的特征识别算法对流量进行统一精确检测，识别攻击后，可以快速清洗，抵御SYN Flood、UDP Flood、ICMP Flood等各种大流量攻击，保障正常服务平稳运行。 边缘安全节点网络基于分布式架构搭建，智能调度全局负载均衡，当某个CDN边缘站点的业务受攻击流量到达清洗阈值时，就近调度流量至更大带宽的高防机房，应对超大流量DDoS攻击，保障突发攻击时的业务访问流畅稳定。

Web基础防护 覆盖OWASP（Open Web Application Security Project，简称OWASP）TOP 10中常见安全威胁，通过预置丰富的信誉库，对漏洞攻击、网页木马等威胁进行检测和拦截。 全面的攻击防护 支持SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录（路径）遍历、敏感文件访问、命令/代码注入、XML/Xpath注入等攻击检测和拦截。 Webshell检测 防护通过上传接口植入网页木马。 识别精准 内置语义分析+正则双引擎，黑白名单配置，误报率更低。 支持防逃逸，自动还原常见编码，识别变形攻击能力更强。 默认支持的编码还原类型：url_encode、Unicode、xml、OCT（八进制）、HEX（十六进制）、html转义、base64、大小写混淆、javascript/shell/php等拼接混淆。 深度检测 深度反逃逸识别（支持同形字符混淆、通配符变形的命令注入、UTF7、Data URI Scheme等的防护）。 header全检测 支持对请求里header中所有字段进行攻击检测。 Shiro解密检测 支持对Cookie中的rememberMe内容做AES，Base64解密后再检测。

快速部署 本章节主要帮助用户快速部署“快速搭建Dify-LLM应用开发平台”解决方案 表1 参数说明 参数名称 类型 是否可选 参数解释 默认值 vpc_name string 必填 虚拟私有云名称，该模板使用新建VPC，不允许重名。取值范围：1-54个字符，支持中文、英文字母、数字、_（下划线）、-（中划线）、.（点）。 dify-llm-application-development-platform-demo secgroup_name string 必填 安全组名称，该模板新建安全组，请参考安全组规则修改进行配置。取值范围：1-64个字符，支持字母、数字、中文、下划线（_）、中划线（-）、英文句号（.）。 dify-llm-application-development-platform-demo ecs_name string 必填 云服务器实例名称，不支持重名。取值范围：1-64个字符，支持中文、英文字母、数字、_（下划线）、-（中划线）、.（点）。 dify-llm-application-development-platform-demo flexus_flavor string 必填 云服务器实例规格，支持弹性云服务器 E CS 及华为云Flexus 云服务器X实例。Flexus 云服务器X实例规格ID命名规则为x1.?u.?g，例如2vCPUs4GiB规格ID为x1.2u.4g，具体华为云Flexus 云服务器X实例规格请参考控制台。弹性云服务器规格名称，具体请参考官网弹性云服务器规格清单。 x1.8u.16g ecs_password string 必填 云服务器密码，长度为8-26位，密码至少必须包含大写字母、小写字母、数字和特殊字符（!@$%^-_=+[{}]:,./?）中的三种，仅支持小写字母、数字、中划线（-）、英文句号（.）。修改密码，请参考重置云服务器密码登录ECS控制台修改密码。管理员账户默认root。 空 ecs_volume_size number 必填 云服务器系统盘大小，磁盘类型默认为高IO，单位：GB，取值范围为40-1,024，不支持缩盘。 100 bandwidth_size number 必填 弹性公网带宽大小，该模板计费方式为按流量计费。单位：Mbit/s，取值范围：1-300Mbit/s。 300 charging_mode string 必填 计费模式，默认自动扣费，取值为prePaid（包年包月）或postPaid（按需计费）。 postPaid charge_period_unit string 必填 计费周期单位，当计费方式设置为prePaid，此参数是必填项。有效值为：month（包月）和year（包年）。 month charge_period number 必填 计费周期，当计费模式设置为prePaid，此参数是必填项。可选值为：1-3（year）、1-9（month）。 1 登录华为云解决方案实践，选择“快速搭建Dify-LLM应用开发平台”，单击“一键部署”，跳转至解决方案创建资源栈界面。 图1 解决方案实施库 在选择模板界面中，单击“下一步”。 图2 选择模板 在配置参数界面中，参考表1 参数填写说明完成自定义参数填写，单击“下一步”。 图3 配置参数 在资源设置界面中，在权限委托下拉框中选择“rf_admin_trust”委托（可不选），单击“下一步”。 图4 资源栈设置 在配置确认界面中，单击“创建执行计划”。 图5 配置确认 在弹出的创建执行计划框中，自定义填写执行计划名称，单击“确定”。 图6 创建执行计划 单击“部署”，并且在弹出的执行计划确认框中单击“执行”。 图7 执行计划 图8 执行计划确认 （可选）如果计费模式选择“包年包月”，在余额不充足的情况下（所需总费用请参考表2）请及时登录费用中心，手动完成待支付订单的费用支付。 待“事件”中出现“Apply required resource success”，表示该解决方案已经部署完成。 图9 部署完成 刷新页面，在“输出”中查看Dify-LLM应用开发平台访问说明。堆栈部署成功后，Dify应用搭建脚本开始执行，耐心等待5-10分钟左右（受网络波动影响）。 图10 说明 父主题： 实施步骤

开通密钥轮转如何收费？ 开通密钥轮转后，会收取相应的密钥存储费用，每个轮转的版本将作为一个独立的主密钥资源进行计算，调用次数计费与轮转次数计费无关。 以1个密钥开通轮转，轮转周期为30天，单价0.015元（抹零后0.01元）每小时为例： 第一个月：密钥的轮转版本为0，收费为0.01*24*30 + 0*0.01*24*30 = 7.2元。 第二个月：密钥的轮转版本为1，收费为0.01*24*30 + 1*0.01*24*30 = 14.4元。 第三个月：密钥的轮转版本为2，收费为0.01*24*30 + 2*0.01*24*30 = 21.6元。 以此类推 第n个月：密钥的轮转版本为n，收费为0.01*24*30 + (n-1)*0.01*24*30 = 7.2*n元。 父主题： 计费类

配置须知 按照本案例配置后，可以正常通过API或SDK完成权限所允许的操作，但如果通过控制台或OBS Browser+登录，可能会出现无权限的相关提示信息。 报错原因：通过控制台或者OBS Browser+登录后，加载桶列表时会调用获取桶列表（ListAllMyBuckets）等接口，加载对象列表时会调用列举桶内对象（ListBucket）等接口，其他页面也会调用其他的OBS接口。如果指定的权限中没有包含如obs:bucket:ListAllMyBuckets、obs:bucket:ListBucket及一些控制台和OBS Browser+加载页面时需要调用的接口权限，会提示“拒绝访问，请检查相应权限”，或者“不允许在请求的资源上执行此操作”。 如果希望 IAM 用户能在控制台或OBS Browser+顺利完成桶和对象相关操作，建议至少在自定义策略中包含obs:bucket:ListAllMyBuckets和obs:bucket:ListBucket两个权限。（本案例中的权限2和权限3已包含） obs:bucket:ListAllMyBuckets面向所有资源，资源选择时要选择所有资源。 obs:bucket:ListBucket只面向授权的桶，资源选择时根据情况选择所有资源或者指定的桶。

桶ACL和桶策略的映射关系 桶ACL用于授予桶基本的读写权限，桶策略高级设置中支持更多在桶上可以执行的动作。桶ACL是对桶策略的补充，除了限定的只能由桶ACL授予日志投递用户组权限外，更多时候桶策略可以替代桶ACL管理桶的访问权限。桶ACL访问权限和桶策略动作的映射关系如表1所示。 表1 桶ACL和桶策略的映射关系 ACL权限 选项 对应桶策略高级设置中的动作 桶访问权限 读取权限 HeadBucket ListBucket ListBucketVersions ListBucketMultipartUploads 写入权限 PutObject DeleteObject DeleteObjectVersion 对象权限 对象读权限 GetObject ACL访问权限 读取权限 GetBucketAcl 写入权限 PutBucketAcl

对象ACL和桶策略的映射关系 对象ACL用于授予对象基本的读写权限。桶策略高级设置中支持更多在对象上可以执行的动作。对象ACL访问权限和桶策略动作的映射关系如表2所示。 表2 对象ACL和桶策略的映射关系 对象ACL权限 选项 对应桶策略高级设置中的动作 对象访问权限 读取权限 GetObject GetObjectVersion ACL访问权限 读取权限 GetObjectAcl GetObjectVersionAcl 写入权限 PutObjectAcl PutObjectVersionAcl

Action / NotAction 桶策略动作与资源相关，当资源为当前整个桶时，桶策略动作需配置为桶相关的动作；当资源为桶内对象时，桶策略动作需配置为对象相关的动作。 桶策略动作可以通过排除策略来指定： （可选项）排除以上授权操作：桶策略对除指定动作外的其他动作生效。 不勾选：表示桶策略对指定的动作生效。 勾选：表示桶策略对除指定动作外的其他动作生效。 对于桶策略模板，“桶读写”模板默认勾选，其他模板默认不勾选。桶策略模板中的动作排除策略不支持修改。

Condition 除了指定效力、被授权用户、资源、动作外，桶策略还可以指定生效条件。只有当条件设置的表达式与访问请求中的值匹配时，桶策略才生效。条件是可选参数，用户可以根据业务需要选择是否使用。 例如，账号A拥有example桶，账号B会向账号A的example桶中上传对象，账号A想要拥有账号B向example桶中上传对象的完全控制权限（因为默认情况下对象由上传该对象的账号B拥有），则可以指定上传请求中必须包含x-obs-acl键，以及显式授予完全控制权限，完整的条件表达式如下： 条件运算符 键 值 StringEquals x-obs-acl bucket-owner-full-control 条件由条件运算符、条件键、条件值三部分组成，最终组成一个条件表达式，决定桶策略生效的条件。同一个条件运算符中，如果存在多个相同的键，则只会保留最后一个键。条件运算符、键两者之间存在互相限制的关联关系，例如：条件运算符选择了一个String类型的，比如StringEquals，键就只能选择String类型的，比如UserAgent。键选择了一个Date类型，比如CurrentTime，条件运算符就只能选择Date类型的，比如DateEquals。 条件运算符 运算符与条件键、条件值一起构成完整的条件判断语句，当请求信息满足该条件时，策略才能生效。Statement中可选的条件运算符参见表4，String型运算符如未增加说明，不区分大小写。

配置须知 如果同时在IAM和企业项目中针对某个动作（Action）为某IAM用户进行了授权，授权结果以IAM为准。 举例： 1、如果在IAM和企业项目同时配置了列举桶权限（obs:bucket:ListAllMyBuckets），最终结果会列举出所有桶，包括用户所属企业项目之外的桶。 2、针对上传权限（obs:object:PutObject），如果在IAM中配置Allow，企业项目中配置deny，最终结果为Allow，即允许上传对象。 如果在IAM中为某IAM用户配置OBS Viewer权限，并且将其所在用户组加入至企业项目中，则IAM用户登录后将会出现无法列举桶的情况。 配置完成进入桶后仍然会出现无权限相关提示，属于正常现象，因为控制台还调用了其他高级配置的接口，但此时已可以正常完成读写模式中允许的操作。

场景介绍 本章节介绍如何通过企业项目为华为云账号下的某个IAM用户配置指定桶的权限，使其只能在控制台看到授权的桶并且拥有桶的指定权限，无法看到账号下的其他桶，实现桶资源的隔离。 本案例将指定IAM用户test-user只能在控制台看到名为example的桶，并且只拥有上传权限（obs:object:PutObject）、列举桶内权限（obs:bucket:ListBucket）和列举桶权限（obs:bucket:ListAllMyBuckets），通过这些权限test-user用户可以完成上传对象的操作。

场景介绍 本案例介绍如何使用临时访问密钥（临时AK/SK和securitytoken），通过临时授权的方式访问OBS。 假设您希望IAM用户（用户名：APPServer）可以访问桶hi-company的APPClient文件夹，并希望申请到两个不同的临时访问密钥分发给终端APP：APP-1和APP-2，其中APP-1仅能访问APPClient/APP-1下的文件，APP-2仅能访问APPClient/APP-2下的文件。

相关场景 如果想要实现只允许指定的IP地址访问OBS桶，则将上述示例中桶策略的“条件运算符”设置为“NotIpAddress”，并在“值”中指定允许的IP地址即可。 在内网访问OBS的场景下，如果想要限制指定私网IP地址访问桶，需要购买网关型VPCEP终端节点（服务类别选择“按名称查找服务”，获取服务名称请提交工单，技术人员将为您提供）。通过VPCEP终端节点访问桶，OBS侧感知到的源IP即为私网IP，桶策略可直接针对私网IP进行访问限制。

文件分享方法 在OBS管理控制台左侧导航栏选择“桶列表”。 在桶列表单击目标桶的桶名称，进入“对象”页面。 选中待分享的文件，并单击右侧操作列的“分享”。 此时，链接信息中的链接就已经生效并开始计时，有效期为默认的5分钟。修改URL有效期，链接会相应变化，新链接的有效期从修改时开始计算。 图1 分享文件 URL相关操作。 单击“打开URL”，将在新页面打开文件进行预览或者直接下载文件到本地。 单击“复制链接”，您可以将该链接分享给所有用户，用户可以在浏览器中通过此链接直接访问文件。 单击“复制路径”，您可将该路径分享给所有拥有对象所在桶权限的用户，用户可以在对应桶中的文件搜索框中输入该路径搜索并访问文件。 在“URL有效期”内，任何用户都可以访问该文件。

文件夹分享方法 在OBS管理控制台左侧导航栏选择“桶列表”。 在桶列表单击目标桶的桶名称，进入“对象”页面。 选中待分享的文件夹，并单击右侧的“分享”，系统弹出“分享文件夹”对话框。 分享文件夹有两种方式，分别是提取码分享和直接分享。 方法一：提取码分享。 图2 提取码分享 分享策略选择“提取码分享”。 设置相关参数。 表1 提取码分享文件夹参数 参数 说明 URL有效期 单位为分钟或小时，URL有效期的取值范围为1分钟到18小时，默认值为5分钟。 在“URL有效期”内，任何用户都可以访问该文件夹。 提取码 六位数字。 用户在访问分享链接时，需要输入提取码，才能看到文件夹中的对象。 单击“创建分享”，生成文件分享URL。 将链接及提取码发送给所有用户，用户通过访问链接并输入提取码以访问文件夹中的对象。 验证： 其他用户通过网页访问分享的文件夹。 打开网页，输入分享的URL地址，打开链接。 在页面提示框输入“提取码”，确认即可访问分享的文件夹。 其他用户通过OBS Browser+访问分享的文件夹。 打开OBS Browser+。 在登录页面选择“授权码登录”。 输入“授权码”和“提取码”。 单击“登录”，即可访问分享的文件夹。 方法二：直接分享。 图3 直接分享 分享策略选择“直接分享”。 设置相关参数。 表2 直接分享文件夹参数 参数 说明 URL有效期 单位为分钟或小时，URL有效期的取值范围为1分钟到18小时，默认值为5分钟。 在“URL有效期”内，任何用户都可以访问该文件夹。 单击“复制链接”发送给用户，用户通过该链接即可访问文件夹下所有对象。该分享链接由桶 域名 （前缀）+签名信息（后缀）构成，对该文件夹下所有对象生效。用户可以在分享链接的前缀后面插入对象路径来访问文件夹中的对象，支持访问下载，如图4所示。 验证：其他用户通过分享链接访问文件夹下所有对象。 打开网页，输入分享的链接（前缀+后缀）。 单击“Enter”键打开链接，列举出文件夹内所有对象。 复制对象路径，然后在前缀后黏贴。 单击“Enter”键打开链接，即可访问下载文件夹中的指定对象。 图4 访问直接分享链接示例图

配置须知 本案例预置的“目录只读”模板允许所有账号（所有互联网用户）对指定目录执行以下权限： GetObject：获取对象内容、获取对象元数据 GetObjectVersion：获取指定版本对象内容、获取指定版本对象元数据 GetObjectVersionAcl：获取指定版本对象ACL GetObjectAcl：获取对象ACL RestoreObject：恢复归档存储对象 HeadBucket：判断桶是否存在、获取桶元数据 GetBucketLocation：获取桶位置 使用本案例授权会涉及部分桶相关权限（HeadBucket、GetBucketLocation），请谨慎使用。如果需要缩小权限范围，请参考对所有账号授予指定对象的读权限。

配置须知 按照本案例配置后，可以正常通过API或SDK完成对象下载操作，但如果通过控制台或OBS Browser+登录桶列表，会出现无权限的相关提示信息。 报错原因：通过控制台或者OBS Browser+登录后，加载桶列表时会调用获取桶列表（ListAllMyBuckets）等接口，加载对象列表时会调用列举桶内对象（ListBucket）等接口，其他页面也会调用其他的OBS接口。而授予的只读权限中并没有包含这些操作的权限，所以会提示“拒绝访问，请检查相应权限”，或者“不允许在请求的资源上执行此操作”。

配置须知 本案例预置的“对象只读”模板允许其他账号对桶内指定对象执行以下权限： GetObject：获取对象内容、获取对象元数据 GetObjectVersion：获取指定版本对象内容、获取指定版本对象元数据 GetObjectVersionAcl：获取指定版本对象ACL GetObjectAcl：获取对象ACL RestoreObject：恢复归档存储对象 按照本案例配置后，可以正常通过API或SDK完成读操作（下载指定对象），但如果通过控制台或OBS Browser+登录，会出现无权限的相关提示信息。 报错原因：通过控制台或者OBS Browser+登录后，加载桶列表时会调用获取桶列表（ListAllMyBuckets）等接口，加载对象列表时会调用列举桶内对象（ListBucket）等接口，其他页面也会调用其他的OBS接口。而授予的只读权限中并没有包含这些操作的权限，所以会提示“拒绝访问，请检查相应权限”，或者“不允许在请求的资源上执行此操作”。

配置须知 本案例预置的“桶读写”模板允许其他账号对整个桶及桶内所有对象执行除以下权限以外的所有权限： DeleteBucket：删除桶 PutBucketPolicy：设置桶策略 PutBucketAcl：设置桶ACL 按照本案例配置后，被授权账号可以正常通过API或SDK完成读写操作（上传、下载、删除桶内所有对象），此外允许通过OBS Browser+挂载外部桶的方式完成读写操作。暂不支持在OBS控制台访问非本账号的OBS桶。 通过OBS Browser+访问添加的外部桶可能仍会出现无权限的相关提示信息。 报错原因：OBS Browser+桶详情页面的加载会调用一些其他的OBS接口，而授予的读写权限中并没有包含这些操作的权限，所以会提示“拒绝访问，请检查相应权限”，或者“不允许在请求的资源上执-行此操作”，但并不影响已有权限。

配置须知 按照本案例配置后，可以正常通过API或SDK完成权限所允许的操作，但如果通过控制台或OBS Browser+登录，可能会出现无权限的相关提示信息。 报错原因：通过控制台或者OBS Browser+登录后，加载桶列表时会调用获取桶列表（ListAllMyBuckets）等接口，加载对象列表时会调用列举桶内对象（ListBucket）等接口，其他页面也会调用其他的OBS接口。如果指定的权限中没有包含如obs:bucket:ListAllMyBuckets、obs:bucket:ListBucket及一些控制台和OBS Browser+加载页面时需要调用的接口权限，会提示“拒绝访问，请检查相应权限”，或者“不允许在请求的资源上执行此操作”。 如果希望IAM用户能在控制台或OBS Browser+顺利完成桶和对象相关操作，建议至少在自定义策略中包含obs:bucket:ListAllMyBuckets和obs:bucket:ListBucket两个权限。 obs:bucket:ListAllMyBuckets面向所有资源，资源选择时要选择所有资源。 obs:bucket:ListBucket只面向授权的桶，资源选择时根据情况选择所有资源或者指定的桶。

配置须知 按照本案例配置后，可以正常通过API或SDK完成权限所允许的操作，但如果通过控制台或OBS Browser+登录，可能会出现无权限的相关提示信息。 报错原因：通过控制台或者OBS Browser+登录后，加载桶列表时会调用获取桶列表（ListAllMyBuckets）等接口，加载对象列表时会调用列举桶内对象（ListBucket）等接口，其他页面也会调用其他的OBS接口。如果指定的权限中没有包含如obs:bucket:ListAllMyBuckets、obs:bucket:ListBucket及一些控制台和OBS Browser+加载页面时需要调用的接口权限，会提示“拒绝访问，请检查相应权限”，或者“不允许在请求的资源上执行此操作”。 如果希望IAM用户能在控制台或OBS Browser+顺利完成桶和对象相关操作，建议至少在自定义策略中包含obs:bucket:ListAllMyBuckets和obs:bucket:ListBucket两个权限。

场景介绍 本案例介绍如何通过IAM预置的与OBS相关的系统角色和策略，为华为云账号下的多个IAM用户或用户群组授予OBS所有资源的基本操作权限。预置的系统角色和策略所支持的权限如下表所示。 表1 OBS系统权限 系统角色/策略名称 描述 类别 Tenant Administrator 拥有该权限的用户拥有除IAM外，其他所有服务的所有执行权限。 系统角色 Tenant Guest 拥有该权限的用户拥有除IAM外，其他所有服务的只读权限。 系统角色 OBS Administrator 拥有该权限的用户为OBS管理员，可以对账号下的所有OBS资源执行任意操作。 系统策略 OBS Buckets Viewer 拥有该权限的用户可以执行列举桶、获取桶基本信息、获取桶元数据的操作。 系统角色 OBS ReadOnlyAccess 拥有该权限的用户可以执行列举桶、获取桶基本信息、获取桶元数据、列举对象（不包含多版本）的操作。 说明： 拥有该权限的用户如果在控制台上列举对象失败，可能是因为桶中存在多版本对象。此时需要额外授予该用户列举多版本对象的权限（obs:bucket:ListBucketVersions），才能在控制台正常看到对象列表。 系统策略 OBS OperateAccess 拥有该权限的用户可以执行OBS ReadOnlyAccess的所有操作，在此基础上还可以执行上传对象、下载对象、删除对象、获取对象ACL等对象基本操作。 说明： 拥有该权限的用户如果在控制台上列举对象失败，可能是因为桶中存在多版本对象。此时需要额外授予该用户列举多版本对象的权限（obs:bucket:ListBucketVersions），才能在控制台正常看到对象列表。 系统策略

配置须知 按照本案例配置后，可以正常通过API或SDK完成对象下载操作，但如果通过控制台或OBS Browser+登录桶列表，会出现无权限的相关提示信息。 报错原因：通过控制台或者OBS Browser+登录后，加载桶列表时会调用获取桶列表（ListAllMyBuckets）等接口，加载对象列表时会调用列举桶内对象（ListBucket）等接口，其他页面也会调用其他的OBS接口。而授予的只读权限中并没有包含这些操作的权限，所以会提示“拒绝访问，请检查相应权限”，或者“不允许在请求的资源上执行此操作”。 如果希望IAM用户能在控制台或OBS Browser+顺利完成对象下载操作，请按照后续操作继续配置IAM自定义策略。

配置须知 本案例预置的“对象只读”模板允许指定IAM用户对桶内指定对象执行以下权限： GetObject：获取对象内容、获取对象元数据 GetObjectVersion：获取指定版本对象内容、获取指定版本对象元数据 GetObjectVersionAcl：获取指定版本对象ACL GetObjectAcl：获取对象ACL RestoreObject：恢复归档存储对象 按照本案例配置后，可以正常通过API或SDK完成读操作（下载指定对象），但如果通过控制台或OBS Browser+登录，会出现无权限的相关提示信息。 报错原因：通过控制台或者OBS Browser+登录后，加载桶列表时会调用获取桶列表（ListAllMyBuckets）等接口，加载对象列表时会调用列举桶内对象（ListBucket）等接口，其他页面也会调用其他的OBS接口。而授予的只读权限中并没有包含这些操作的权限，所以会提示“拒绝访问，请检查相应权限”，或者“不允许在请求的资源上执行此操作”。 如果希望IAM用户能在控制台或OBS Browser+顺利完成相关读操作，请按照后续操作继续配置IAM自定义策略。

配置须知 按照本案例配置后，可以正常通过API或SDK完成桶删除操作，但如果通过控制台或OBS Browser+登录桶列表，会出现无权限的相关提示信息。 报错原因：控制台或OBS Browser+登录后，加载桶列表会调用获取桶列表（ListAllMyBuckets）等接口，删除桶时会先调用列举多版本对象（ListBucketVersions）接口。而授予的权限中并没有包含这些操作的权限，所以会提示“拒绝访问，请检查相应权限”，或者“不允许在请求的资源上执行此操作”。 如果希望IAM用户能在控制台或OBS Browser+顺利完成桶删除操作，桶策略中要额外配置ListBucketVersions权限，同时请按照后续操作继续配置IAM自定义策略授予ListAllMyBuckets权限。