bucket-policy（授权策略）

注意事项

• 要添加或修改Bucket Policy，您必须具有oss:PutBucketPolicy权限；要获取Bucket Policy配置，您必须具有oss:GetBucketPolicy权限；要删除Bucket Policy配置，您必须具有oss:DeleteBucketPolicy权限。具体操作，请参见为RAM用户授权自定义的权限策略。

• 从ossutil 1.6.16版本开始，命令行中Binary名称支持直接使用ossutil，您无需根据系统刷新Binary名称。如果您的ossutil版本低于1.6.16，则需要根据系统刷新Binary名称。更多信息，请参见命令行工具ossutil命令参考。

• 关于Bucket Policy的更多信息，请参见Bucket Policy。

• 当您在OSS ON云盒中使用该命令时：

  1. 将配置文件中的Endpoint替换为云盒Endpoint。更多信息，请参见云盒Endpoint。

  2. 在本文已有示例的基础上添加--sign-version、--region以及--cloudbox-id选项。关于这三个选项的具体用法，请参见通用选项。

添加或修改Bucket Policy

添加或修改Bucket Policy前，需要在本地创建JSON格式的文件，并在JSON文件中配置Bucket Policy。单个JSON文件可以配置多条Bucket Policy，但所有Bucket Policy的总大小不能超过16 KB。

添加或修改Bucket Policy时，ossutil先从JSON格式的文件中读取Bucket Policy配置，然后将读取到Bucket Policy添加到指定的Bucket。添加Bucket Policy为覆盖语义，即新添加的Bucket Policy会覆写已有的Bucket Policy配置。

• 命令格式

  ossutil bucket-policy --method put oss://bucketname local_json_file

  参数说明如下：

  参数	说明
  bucketname	添加或修改Bucket Policy的目标存储空间名称。
  local_json_file	配置Bucket Policy的本地JSON文件名称。

• 使用示例

  1. 在本地创建名为local_json_file文件，并根据使用场景写入不同的Bucket Policy。

     Bucket Policy的常见配置示例如下：

     说明

     以下为资源拥有者（即Resource中UID为174649585760****的Bucket Owner）通过Bucket Policy授权指定用户（例如Principal中UID为20214760404935****的RAM用户，匿名用户为*）不同权限的示例。

     • 仅允许指定IP的匿名用户访问目标存储空间examplebucket内的所有资源。

       {
           "Statement": [
               {
                   "Action": [
                       "oss:GetObject",
                       "oss:GetObjectAcl",
                       "oss:ListObjects",
                       "oss:RestoreObject",
                       "oss:GetVodPlaylist",
                       "oss:ListObjectVersions",
                       "oss:GetObjectVersion",
                       "oss:GetObjectVersionAcl",
                       "oss:RestoreObjectVersion"
                   ],
                   "Condition": {
                       "IpAddress": {
                           "acs:SourceIp": [
                               "10.10.10.10"
                           ]
                       }
                   },
                   "Effect": "Allow",
                   "Principal": [
                       "*"
                   ],
                   "Resource": [
                       "acs:oss:*:174649585760xxxx:examplebucket/*"
                   ]
               },
               {
                   "Action": [
                       "oss:ListObjects",
                       "oss:GetObject"
                   ],
                   "Condition": {
                       "StringLike": {
                           "oss:Prefix": [
                               "*"
                           ]
                       },
                       "IpAddress": {
                           "acs:SourceIp": [
                               "10.10.10.10"
                           ]
                       }
                   },
                   "Effect": "Allow",
                   "Principal": [
                       "*"
                   ],
                   "Resource": [
                       "acs:oss:*:174649585760xxxx:examplebucket"
                   ]
               }
           ],
           "Version": "1"
       }

     • 授权指定的RAM用户拥有读取examplebucket中hangzhou/2020和hangzhou/2015目录的只读权限。

       {
           "Statement": [
               {
                   "Action": [
                       "oss:GetObject",
                       "oss:GetObjectAcl",
                       "oss:ListObjects",
                       "oss:RestoreObject",
                       "oss:GetVodPlaylist",
                       "oss:ListObjectVersions",
                       "oss:GetObjectVersion",
                       "oss:GetObjectVersionAcl",
                       "oss:RestoreObjectVersion"
                   ],
                   "Effect": "Allow",
                   "Principal": [
                       "20214760404935xxxx"
                   ],
                   "Resource": [
                       "acs:oss:*:174649585760xxxx:examplebucket/hangzhou/2020/*",
                       "acs:oss:*:174649585760xxxx:examplebucket/hangzhou/2015/*"
                   ]
               },
               {
                   "Action": [
                       "oss:ListObjects",
                       "oss:GetObject"
                   ],
                   "Condition": {
                       "StringLike": {
                           "oss:Prefix": [
                               "hangzhou/2020/*",
                               "hangzhou/2015/*"
                           ]
                       }
                   },
                   "Effect": "Allow",
                   "Principal": [
                       "20214760404935xxxx"
                   ],
                   "Resource": [
                       "acs:oss:*:174649585760xxxx:examplebucket"
                   ]
               }
           ],
           "Version": "1"
       }

     • 拒绝匿名用户访问examplebucket中hangzhou/2021/目录下的所有文件。

       {
           "Statement": [
               {
                   "Action": [
                       "oss:RestoreObject",
                       "oss:ListObjects",
                       "oss:AbortMultipartUpload",
                       "oss:PutObjectAcl",
                       "oss:GetObjectAcl",
                       "oss:ListParts",
                       "oss:DeleteObject",
                       "oss:PutObject",
                       "oss:GetObject",
                       "oss:GetVodPlaylist",
                       "oss:PostVodPlaylist",
                       "oss:PublishRtmpStream",
                       "oss:ListObjectVersions",
                       "oss:GetObjectVersion",
                       "oss:GetObjectVersionAcl",
                       "oss:RestoreObjectVersion"
                   ],
                   "Effect": "Deny",
                   "Principal": [
                       "*"
                   ],
                   "Resource": [
                       "acs:oss:*:174649585760xxxx:examplebucket/hangzhou/2021/*"
                   ]
               },
               {
                   "Action": [
                       "oss:ListObjects",
                       "oss:GetObject"
                   ],
                   "Condition": {
                       "StringLike": {
                           "oss:Prefix": [
                               "hangzhou/2021/*"
                           ]
                       }
                   },
                   "Effect": "Deny",
                   "Principal": [
                       "*"
                   ],
                   "Resource": [
                       "acs:oss:*:174649585760xxxx:examplebucket"
                   ]
               }
           ],
           "Version": "1"
       }

  2. 为examplebucket添加Bucket Policy。

     ossutil bucket-policy --method put oss://examplebucket local_json_file

     以下输出结果表明已成功添加Bucket Policy。

     1.125101(s) elapsed

获取Bucket Policy配置

• 命令格式

  ossutil bucket-policy --method get oss://bucketname local_json_file

  参数	说明
  bucketname	获取Policy配置的目标Bucket名称。
  local_json_file	用于存放Policy配置的本地JSON文件名称。如果未指定此参数，则Policy配置将直接输出到屏幕。

• 使用示例

  获取examplebucket配置的Bucket Policy。

  ossutil bucket-policy --method get oss://examplebucket local_json_file

  以下输出结果表明已成功获取Bucket Policy配置，并将其写入了本地JSON文件。

  0.212407(s) elapsed

删除Bucket Policy配置

当您不再需要通过Bucket Policy授权其他用户访问您的OSS资源时，请删除已配置的Bucket Policy。

• 命令格式

  ossutil bucket-policy --method delete oss://bucketname

• 使用示例

  删除examplebucket中所有已配置的Bucket Policy。

  ossutil bucket-policy --method delete oss://examplebucket

  以下输出结果表明examplebucket中已配置的所有Bucket Policy均已删除。

  0.530750(s) elapsed

通用选项

当您需要通过命令行工具ossutil切换至另一个地域的Bucket时，可以通过-e选项指定该Bucket所属的Endpoint。当您需要通过命令行工具ossutil切换至另一个阿里云账号下的Bucket时，可以通过-i选项指定该账号的AccessKey ID，并通过-k选项指定该账号的AccessKey Secret。

ossutil bucket-policy --method put oss://examplebucket local_json_file -e oss-cn-hangzhou.aliyuncs.com -i yourAccessKeyID -k yourAccessKeySecret

关于此命令的其他通用选项的更多信息，请参见通用选项。