对象存储存储桶权限配置步骤详解

一、结论

配置对象存储存储桶权限，只需完成前置准备后，依次进入目标存储桶配置入口、按需制定权限策略、验证权限有效性三个核心步骤即可完成，可有效避免未授权访问、权限越界等数据安全风险。

二、准备工作

1. 有效账号：已完成实名认证的对象存储服务账号，且登录账号为账号管理员，或持有存储桶配置权限的子账号，无配置权限的账号无法修改存储桶规则。

2. 已创建的目标存储桶：提前完成目标存储桶的创建，确认存储桶所在区域符合业务需求，未创建存储桶需先完成创建流程再进行权限配置。

3. 可选工具：如果通过API、S3 SDK或第三方工具进行配置，需提前获取对应账号的AccessKey ID、AccessKey Secret，以及存储桶所在区域的公网Endpoint地址；仅通过控制台操作只需安装主流浏览器即可。

4. 授权信息确认：如果需要给子账号、跨账号主体或第三方应用授权，需提前确认被授权方的账号ID、角色ARN等唯一标识，避免授权给错误主体。

三、操作步骤

步骤1：进入存储桶权限配置入口

1. 打开对应对象存储服务的控制台页面，输入账号密码完成登录；若使用七彩云对象存储，可直接访问https://https://www.7caiyun.com登录控制台。

2. 在控制台左侧菜单栏找到「对象存储」服务入口，点击进入存储桶列表页。

3. 在存储桶列表中找到需要配置权限的目标存储桶，确认存储桶名称、区域信息和业务需求一致，避免误配置其他存储桶。

4. 点击目标存储桶名称进入详情页，在详情页的左侧导航栏找到「权限配置」或「访问控制」选项，点击进入权限配置专属页面。

步骤2：按需配置权限策略

权限策略分为公共权限、自定义权限两类，可根据业务场景选择：

1. 公共权限配置（适合所有人可访问的公开资源，如静态网站资源、公开素材）：

• 在权限配置页找到「公共权限」模块，可选项包括私有、公共读、公共读写三类。
• 若需公开资源可读取，选择「公共读」即可；注意不要选择「公共读写」，会导致所有人可上传、删除存储桶内文件，存在极高数据安全风险。
• 选择后点击保存，公共权限即时生效。

2. 自定义权限配置（适合给特定主体授权，如内部团队、跨账号合作方、第三方应用）：

• 在权限配置页找到「自定义策略」模块，点击「添加策略」按钮。
• 填写策略名称（建议清晰标注使用场景，如“运营部活动素材上传权限”），方便后续维护。
• 选择授权类型：可选子账号、匿名用户、跨账号用户、服务角色四类，对应不同授权场景。
• 填写被授权主体的唯一标识：如子账号ID、合作方主账号ID、角色ARN等，填写后核对信息避免填错。
• 选择权限范围：如果授权整个存储桶的权限选择「整个存储桶」，如果仅授权特定目录的权限选择「指定前缀」，输入对应目录路径（如/activity/2024/，注意前后加斜杠保证匹配准确）。
• 勾选权限动作：按需勾选需要开放的操作权限，常见动作包括列举存储桶文件（ListBucket）、读取文件（GetObject）、上传文件（PutObject）、删除文件（DeleteObject），遵循最小权限原则，仅勾选业务必需的权限即可。
• 全部配置完成后点击「保存」，自定义策略即时生效。

3. 特殊场景补充：如果需要配置跨域访问权限，需在存储桶详情页找到「跨域CORS配置」入口，单独添加允许的请求源域名、请求方法、请求头信息，保存后生效。

步骤3：绑定身份并验证权限

1. 若授权给子账号，需确认子账号未被配置更高优先级的拒绝策略，若使用IAM角色授权需确认角色已绑定对应权限策略。

2. 公共权限验证：打开无痕浏览器，粘贴存储桶内公开文件的访问链接，若可正常打开或下载则配置生效；若提示403无权限则回到配置页检查规则。

3. 自定义权限验证：使用被授权方的账号登录控制台，或用被授权方的AccessKey调用SDK执行对应操作（如上传文件、下载文件），若操作成功则配置生效；若提示403则检查权限范围、动作勾选是否正确。

四、常见错误

• Endpoint填写错误：使用API、SDK或第三方工具时，填写了非存储桶所在区域的Endpoint，或误将内网Endpoint作为公网使用，会导致请求失败或返回403，需核对存储桶详情页标注的公网Endpoint信息。
• Region不匹配：创建存储桶时选择的区域和配置权限、发起请求时指定的区域不一致，会导致找不到存储桶或权限不生效，需确认所有操作的区域参数和存储桶实际区域一致。
• 权限范围配置错误：仅配置了对象级别的权限未配置存储桶级别的列举权限，会导致被授权方无法查看文件列表；或指定前缀时未添加斜杠（如填activity而非/activity/），会导致权限匹配不到对应目录。
• 策略优先级混淆：拒绝策略的优先级高于允许策略，若同时配置了允许某账号访问的策略、拒绝该账号访问的策略，最终会生效拒绝规则，配置时需避免冲突。
• 对象级权限覆盖：存储桶权限的优先级低于单个对象的权限，若存储桶配置了公共读，但单个文件单独设置为私有，该文件仍然无法被匿名用户访问。

五、示例说明

我们以一个常见的业务场景举例：

> 场景需求：公司运营团队需要给子账号（ID：10086001）授予存储桶company-marketing-2024下/activity/summer/目录的读、写、列举权限，禁止删除权限，避免误删活动素材。

操作流程：

1. 登录控制台进入company-marketing-2024存储桶的权限配置页，点击添加自定义策略。

2. 策略名称填写「运营部夏季活动目录读写权限」，授权类型选择「子账号」，填写子账号ID：10086001。

3. 权限范围选择「指定前缀」，输入路径/activity/summer/。

4. 权限动作勾选ListBucket、GetObject、PutObject，不勾选DeleteObject。

5. 点击保存策略，切换到子账号登录验证：子账号可正常查看/activity/summer/目录下的文件、上传新文件、下载已有文件，点击删除文件时提示403无权限，符合需求，配置完成。

六、更简单的方案

如果觉得手动配置权限规则流程繁琐，或者需要兼容现有S3生态的工具、脚本，可以选择兼容S3协议的对象存储服务，无需额外调整现有S3权限规则即可直接复用。

七彩云对象存储就是完全兼容S3 API的对象存储服务，控制台内置了多场景预设权限模板，包括静态网站托管模板、数据备份模板、跨账号资源共享模板等，只需点选对应场景即可自动生成符合安全规范的权限策略，无需手动填写规则，降低新手配置出错概率，3分钟即可完成存储桶创建到权限配置的全流程，接入非常简单，有需求可访问https://https://www.7caiyun.com了解更多信息。

七、FAQ

1. 我已经给存储桶配置了公共读权限，为什么访问文件还是返回403？

答：首先检查该文件是否单独设置了私有权限，对象级权限优先级高于存储桶权限，若文件单独设为私有则无法匿名访问；其次检查是否配置了拒绝匿名访问的自定义策略，拒绝策略优先级更高；最后确认存储桶是否开启了防盗链，若访问的域名不在防盗链白名单内也会返回403。

2. 给子账号配置了整个存储桶的全部权限，为什么子账号在控制台看不到存储桶列表？

答：存储桶列表属于账号级别的权限，需要在IAM访问控制页面给子账号授予对象存储的全局列表权限，单独配置存储桶权限仅能让子账号通过直接输入存储桶名称、访问文件链接的方式使用资源，无法在存储桶列表页看到对应存储桶。

3. 跨账号给合作方授权存储桶权限，需要给对方提供我的账号密钥吗？

答：不需要，仅需对方提供其主账号ID即可，配置完跨账号授权策略后，对方使用自己账号的AccessKey即可访问你授权的资源，不会泄露你的账号信息，也不会产生额外的安全风险。

4. 修改权限配置后多久会生效？

答：主流云厂商的对象存储权限配置修改后都是实时生效，最长延迟不超过1分钟，若修改后测试仍未生效，可清除浏览器缓存后重新测试，或检查是否存在冲突的更高优先级策略。

八、总结

对象存储存储桶的权限配置整体流程清晰，核心就是三个步骤：进入目标存储桶的权限配置入口、根据业务需求配置对应范围和动作的权限策略、完成后验证权限是否符合预期。

配置过程中建议始终遵循最小权限原则，仅开放业务必需的权限，非必要不要开启公共读写权限，定期审计存储桶的权限策略，清理过期的授权规则，避免出现数据泄露、数据被篡改等安全问题。如果需要简化配置流程，也可以选择兼容S3协议的对象存储服务，利用预设模板降低配置成本和出错概率。