概述

在您的百度智能云账号下面，通过 IAM 可以创建具有自己 AccessKey 的子用户。您的百度智能云账号被称为主账号，创建出来的账号被称为子用户，使用子用户的 AccessKey 只能使用主账号授权的操作和资源，BOS已经接入IAM子用户系统，通过控制台多用户访问控制创建IAM子用户，您可以实现：

1. 同账号授权：您可以授权自己账号下的子用户去管理自己账号下的云资源（Bucket和Object）。
2. 跨账号授权：您可以授权自己账号下的子用户去管理他人账号下的云资源（Bucket和Object）。

当您在授权的时候，建议严格遵循最小权限原则，限定用户执行受限的操作（如仅授权读操作）并设置访问指定前缀的资源，避免授予过大的权限，导致预期外的越权操作，造成数据安全风险。

应用场景

• 企业子账号管理与分权

  企业A使用百度智能云账号购买了多种云资源（如BCC实例/RDS实例/BLB实例/BOS存储/...），A的员工需要操作这些云资源包括购买、运维、线上应用等。不同岗位员工的工作职责不一样，需要的权限也不一样。出于安全考虑，A不希望将主账号的密钥直接公布给员工，而希望能给不同岗位员工创建相应的用户子账号。用户子账号只能在授权的前提下操作资源，不需要进行独立的计量计费，所有资源费用都归属主账号。A主账号随时可以撤销子账号的权限，也可以随时删除其创建的子账号。

• 企业之间的资源操作与授权管理

  A和B代表不同的企业。A购买了多种云资源（如BCC实例/RDS实例/BLB实例/BOS存储/...）来开展业务。A希望能专注于业务系统，而将云资源运维监控管理等任务委托或授权给企业B。企业B也可以进一步将代运维任务分配给B的员工，即B为其员工创建相应的用户子账号供其使用。B可以精细控制其员工对A的云资源操作权限。如果A和B的这种代运维合同终止，A随时可以撤销对B的授权。

策略文件说明

IAM主用户授权给子用户通过关联策略实现，策略文件本质上是一个JSON文件，文件中permission和resource用来定义权限和资源。策略文件对应的空白模版如下：

{
    "accessControlList": [
        {
            "service": "bce:bos",
            "region": "*",
            "effect": "Allow",
            "permission": [],
            "resource": [],
        }
    ]
}

策略文件中各字段的含义如下：

每种permission所对应的BOS API如下：

系统策略配置说明

为了方便用户使用，百度智能云内置了两个常用策略作为系统策略：BosFullAccess和BosListAndReadAccess。

• BosFullAccess：管理百度智能云对象存储服务（BOS）的权限。
• BosListAndReadAccess：只读访问百度智能云对象存储服务（BOS）的权限。

说明：

• 系统策略无法修改且不能删除。

在“策略管理”页面点击策略名称对应操作列的“查看”按钮，可以查看两个系统策略对应的JSON文件。

自定义策略配置说明

如果您需要定制更精细的权限控制，可以创建一个自定义策略。自定义策略即用户通过策略文件定义子账号的资源和权限，通过自定义策略用户可以更精准的控制权限和资源。策略本质上为JSON文件，您可以参考策略文件说明，也可以参考以下典型场景示例。 您也可以使用BOS ACL编辑工具获取策略模板及自定义策略配置。 示例中假设bucket名为mybucket。

授权子用户某个Bucket的完全管理权限（使用控制台管理）

{
    "accessControlList": [
        {
            "service": "bce:bos",
            "region": "*",
            "effect": "Allow",
            "permission": [
                "FULL_CONTROL"
            ],
            "resource": [
                "mybucket",
                "mybucket/*"
            ]
        },
        {
            "service": "bce:bos",
            "region": "*",
            "effect": "Allow",
            "permission": [
                "ListBuckets"
            ],
            "resource": [
                "*"
            ]
        }
    ]
}

注意：

• resource字段需要同时写mybucket和mybucket/*。
• 如果您希望通过控制台管理某个bucket，那还需要有ListBuckets的权限，不然Bucket列表是打不开的。
• 子用户支持实现跨账号资源授权。比如这里的mybucket可以是其他账号下的资源。假设这里有两个账号，账号A下有mybucket，账号B下有个子用户。账号A可以首先通过更新Bucket权限来把mybucket授权给账号B来使用。然后账号B可以创建一个自定义策略来进一步把管理mybucket的权限授予子用户。

授权子用户某个Bucket的完全管理权限（不使用控制台管理和BOS桌面）

{
    "accessControlList": [
        {
            "service": "bce:bos",
            "region": "*",
            "effect": "Allow",
            "permission": [
                "FULL_CONTROL"
            ],
            "resource": [
                "mybucket",
                "mybucket/*"
            ]
        }
    ]
}

注意：

• resource字段需要同时写mybucket和mybucket/*。
• 如果不通过控制台来管理bucket，则无需开放ListBuckets权限。您可以直接通过BOS周边工具、SDK来使用BOS服务。

授权子用户对某个prefix（目录）的只读权限

假设某bucket用于存放照片，照片按照拍摄地点存放，每个拍摄地点下有年份子目录。现在需要授予子用户读取mybucket/shanghai/2013/目录的只读权限。目录结构如下：

mybucket //bucket
	|-- beijing
	|	|--2010
	|	|--2011
	|-- shanghai
	|	|--2012
	|	|--2013 //授予此目录的只读权限
	|--shenzhen
		|--2014
		|--2015

假设子用户已经知道所有文件的路径，且需要列出文件的权限：

{
    "accessControlList": [
        {
            "service": "bce:bos",
            "region": "*",
            "effect": "Allow",
            "permission": [
                "LIST",
                "READ"
            ],
            "resource": [
                "mybucket/shanghai/2013/",
                "mybucket/shanghai/2013/*"
            ]
        },
        {
            "service": "bce:bos",
            "region": "*",
            "effect": "Allow",
            "permission": [
                "READ"
            ],
            "resource": [
                "mybucket"
            ]
        }
    ]
}

其他说明：

• 若子用户需使用BOS控制台上传文件，您不仅需要完成对应操作授权，还需设置子用户访问方式为【编程访问】与【控制台密码访问】，否则将导致文件上传失败。