教程示例:基于企业控制台外部人员实现跨账号访问OSS

阿里云 OSS 的资源默认都是私有的,若您希望您的合作伙伴可以访问您的 OSS 资源,您可以通过添加外部人员并授予 OSS 访问权限的方式,让合作伙伴访问。

案例:公司 A 希望其合作公司 B 可以访问自己的 OSS 资源,但又不方便开放子账号给 B 公司。此时,A 公司可以通过企业控制台添加外部人员,并授予外部人员 OSS 的访问权限。B 公司账号获得授权之后,可以在控制台添加 A 公司 OSS 资源的访问路径进行访问。

添加外部人员并授权

  • B 公司账号:创建 RAM 子账号,并记录完整的子账号名(由用户名和企业域名组成)。详细配置方法请参见创建 RAM 用户。
  • A 公司账号
    1. 登录阿里云企业控制台。
    2. 单击人员目录 > 用户管理 > 外部人员 > 添加外部人员
    3. 在弹出的添加外部人员对话框填写外部人员信息,并单击确定
      • 登录名:B 公司的完整子账号名。
      • 显示名:自定义的显示名称,长度1-24个字符或汉字,允许输入英文字母、数字、”@”、”.”或”-“。
    4. 单击主菜单栏的权限管理 > 授权 > 新增授权项,授予 B 公司子账号 OSS 只读权限(即 AliyunOSSReadOnlyAccess)。您也可以根据您的需求设置自定义权限,详情请参见创建自定义策略。

登录外部人员账号并添加访问路径

账号的权限添加完成之后,您还需要登录 B 公司子账号,添加 A 公司的 Bucket 访问路径。配置步骤如下:

  1. 通过 RAM 账号登录链接登录 B 公司子账号。
  2. 打开OSS 控制台。
  3. 单击左侧菜单栏我的访问路径后的加号(+),添加 A 公司授权访问的 Bucket 路径信息。
    • 区域:下拉选择 A 公司允许访问的 Bucket 所在地域。
    • 访问路径:添加 A 公司允许访问的 Bucket 访问路径,格式为「bucket/object-prefix」。例如,仅允许访问名为 aliyun 的 Bucket 下的 abc 文件夹,则添加 aliyun/abc

您也可以创建子账号的 AccessKey,并通过 AccessKey 使用 ossutil、ossbrowser 等工具访问被授权的 Bucket。

参考文档

您也可以通过以下方式授权合作伙伴访问您的 OSS 资源:

  • 教程示例:基于RAM角色实现跨账号访问OSS
  • 教程示例:基于 Bucket Policy 实现跨账号访问OSS

发布者:佚, 佚名,转转请注明出处:https://www.cms2.cn/aliyun/3176.html

发表评论

邮箱地址不会被公开。 必填项已用*标注