对象存储服务 OBS-通过临时访问密钥访问OBS:临时访问密钥的权限
时间:2025-03-04 11:34:30
下载对象存储服务 OBS用户手册完整版
复制链接到剪贴板
分享文章到微博
分享文章到朋友圈
临时访问密钥的权限
IAM 用户在调用IAM的获取临时AK/SK和securitytoken接口时,可通过设置policy参数,为临时访问密钥增加临时策略来约束使用者的权限。临时策略的格式与内容与IAM权限保持一致。
- 如果不设置policy参数,即不使用临时策略,则获取的临时访问密钥具有与IAM用户相同的权限。
- 如果设置了policy参数,即使用了临时策略,则获取的临时访问密钥的权限在IAM用户原有权限的基础上,进一步约束在设置的临时策略以内。
如下图,“1”代表了IAM用户的原有权限,“2”为设置的临时策略所对应的临时权限,两个权限的交集“3”即为使用者最终的有效权限。
图1 IAM用户权限和临时权限交集
临时访问密钥遵循权限最小化原则,建议在IAM用户原有权限范围内配置临时策略,以免在使用时产生配置了临时策略却没有对应权限的疑惑。如下图所示,使用者最终的有效权限即为设置的临时权限。
图2 临时权限设置在IAM用户权限范围内
临时策略的权限判断同样遵循Deny优先的原则,对于未设置的权限则默认拒绝。
设置临时策略时,因不设置的权限将默认拒绝,所以建议只设置显式的Allow权限即可。
support.huaweicloud.com/perms-cfg-obs/obs_40_0008.html
