OBS自定义策略样例

• 示例1：给用户授予OBS的所有权限

  此策略表示用户可以对OBS进行任何操作，使用方式包括API、SDK、控制台及工具。

  由于用户登录OBS控制台时，会访问一些其他服务的资源，如 CTS 审计信息， CDN加速 域名，KMS密钥等。因此除了配置OBS的权限外，还需要配置其他服务的访问权限。其中CDN属于全局服务，CTS、KMS等属于区域级服务，需要根据您实际使用到的服务和区域分别在全局项目和对应区域项目中配置Tenant Guest权限。

  {
      "Version": "1.1",
      "Statement": [
          {
              "Effect": "Allow",
              "Action": [
                  "obs:*:*"
              ]
          }
      ]
  }

• 示例2：给用户授予桶的只读权限（不限定目录）
  此策略表示用户可以对桶obs-example下的所有对象进行列举和下载。

  {
      "Version": "1.1",
      "Statement": [
          {
              "Effect": "Allow",
              "Action": [
                  "obs:object:GetObject",
                  "obs:bucket:ListBucket"
              ],
              "Resource": [
                  "obs:*:*:object:obs-example/*",
                  "obs:*:*:bucket:obs-example"
              ]
          }
      ]
  }

• 示例3：给用户授予桶的只读权限（限定目录）
  此策略表示用户只能下载桶obs-example中“my-project/”目录下的所有对象，其他目录下的对象虽然可以列举，但无法下载。

  {
      "Version": "1.1",
      "Statement": [
          {
              "Effect": "Allow",
              "Action": [
                  "obs:object:GetObject",
                  "obs:bucket:ListBucket"
              ],
              "Resource": [
                  "obs:*:*:object:obs-example/my-project/*",
                  "obs:*:*:bucket:obs-example"
              ]
          }
      ]
  }

• 示例4：给用户授予桶的读写权限（限定目录）
  此策略表示用户可以对桶obs-example中“my-project”目录下的所有的对象进行列举、下载、上传和删除。

  {
      "Version": "1.1",
      "Statement": [
          {
              "Effect": "Allow",
              "Action": [
                  "obs:object:GetObject",
                  "obs:object:ListMultipartUploadParts",
                  "obs:bucket:ListBucket",
                  "obs:object:DeleteObject",
                  "obs:object:PutObject"
              ],
              "Resource": [
                  "obs:*:*:object:obs-example/my-project/*",
                  "obs:*:*:bucket:obs-example"
              ]
          }
      ]
  }

• 示例5：给用户授予桶的所有权限
  此策略表示用户可以对桶obs-example进行任何操作。

  {
      "Version": "1.1",
      "Statement": [
          {
              "Effect": "Allow",
              "Action": [
                  "obs:*:*"
              ],
              "Resource": [
                  "obs:*:*:bucket:obs-example",
                  "obs:*:*:object:obs-example/*"
              ]
          }
      ]
  }

• 示例6：拒绝用户上传对象

  拒绝策略需要同时配合其他策略使用，否则没有实际作用。用户被授予的策略中，一个授权项的作用如果同时存在Allow和Deny，则遵循Deny优先原则。

  如果您给用户授予OBS OperateAccess的系统策略，但不希望用户拥有OBS OperateAccess中定义的上传对象的权限，您可以创建一条拒绝上传对象的自定义策略，然后同时将OBS OperateAccess和拒绝策略授予用户，根据Deny优先原则，则用户可以执行除了上传对象外OBS OperateAccess允许的所有操作。拒绝策略示例如下：

  {
      "Version": "1.1",
      "Statement": [
          {
              "Effect": "Deny",
              "Action": [
                  "obs:object:PutObject"
              ]
          }
      ]
  }

• 示例7：给用户授予指定桶的修改桶存储类别权限以及桶内指定对象的删除权限

  此策略表示用户可以对桶obs-example进行修改桶存储类别，以及对桶obs-example中“my-object.txt”对象进行删除。

  {
      "Version": "1.1",
      "Statement": [
          {
              "Effect": "Allow",
              "Action": [
                  "obs:bucket:ListAllMyBuckets",
                  "obs:bucket:ListBucket"
              ]
          },
          {
              "Effect": "Allow",
              "Action": [
                  "obs:object:DeleteObject",
                  "obs:bucket:PutBucketStoragePolicy"
              ],
              "Resource": [
                  "OBS:*:*:object:obs-example/my-object.txt",
                  "OBS:*:*:bucket:obs-example"
              ]
          }
      ]
  }