作者：池桂梅， QingStor 存储产品文档工程师。主要负责 QingStor 存储线的相关产品的文档工作。

在第五期的文章中，我们曾以“乔巴的大包”为例，讲述了 QingStor 对象存储中关于数据存取及加密相关的知识。今天，作者将继续用“乔巴的大包”来为大家解读存储空间的授权问题。

往期回顾：对象存储手把手教五 | 数据存储与加密

一 故事背景

随着航海征程的推进，战斗随时打响，这就意味着伤亡随时随地都会出现。而作为医生的乔巴，救死扶伤，是在所难免的。可是，根据战斗的规模，比如一两个伤亡，乔巴可以应付，伤亡惨重的场景里，乔巴也只能急的嗷嗷大叫啊。这个时候，给乔巴配备助手，也是迫在眉睫啊。

草帽海贼团招收队友的标准，大家是知道的，一时半会儿，上哪儿去找助手配给乔巴呢？ “其实，我只需要一个人能按照我的要求，领用我背包里面的物品就可以了”，乔巴如是说。

针对乔巴的需求，QingStor 对象存储这次又能提供怎样的解决方案呢？

二 什么是 Policy

QingStor 对象存储提供 Bucket Policy 用于向其他青云 QingCloud 用户赋予相应存储空间及其对象的访问权限。

也就是说，通过该功能，乔巴可以给路飞，或者娜美等草帽海贼团的成员分配权限，使得他们可以访问乔巴存储于 QingStor 对象存储空间的背包。但是鉴于该背包内物品的重要性的不同，乔巴需要指明哪些物品是可以随便拿，哪些物品是只能看看，哪些物品是看都不能看的。

QingStor 对象存储的 Policy 功能，完美的解决了乔巴的难题。那具体是怎么做的呢？下面我们将详细说明。

三 如何使用Policy

3.1 Console

为方便操作，QingStor 对象存储提供了友好的界面应用程序，供乔巴来设置其存储空间的 Policy。详细步骤如下：

步骤1: 进入 QingCloud 的主页面，点击“产品服务 -> 存储服务 -> 对象存储”：

步骤2: 进入 QingStor 对象存储空间列表页面，点击待操作的存储空间：

步骤3: 进入存储空间详细页面后，点击“设置 -> 存储空间策略 -> 添加规则”：

步骤4: 进入策略设置页面，根据提示信息，填写相关参数，点击保存即可：

通过设置 “响应动作” ，“用户” 以及 “操作”，乔巴可以给指定的队友赋予可执行或不可执行某项动作的权限。通过设置 “Referer” 来指定该权限适用的具体物品。

如乔巴需要给娜美赋予可以获取整个背包内的物品的权限，设置后的规则如下：

由于路飞比较粗心，乔巴要拒绝路飞获取背包内的物品，设置后的规则如下：

3.2 API

QingStor 对象存储也提供 API，供乔巴来设置其存储空间的 Policy。

3.2.1 GET Bucket Policy

若乔巴想查看当前存储空间已经设置的存储空间 Policy，可以使用 GET Bucket Policy，无需携带多余的信息。但是被赋予该存储空间访问权限的娜美，就不能使用该 API 来获取乔巴已经设置的存储空间 Policy 了。

从存储空间安全的角度考虑，QingStor 对象存储仅允许存储空间的所有者调用该 API。

具体可以这样做：

请求示例：

GET /?policy HTTP/1.1Host: mybucket.Date: Sun, 16 Aug 09:05:00 GMTAuthorization: authorization string

响应示例：

HTTP/1.1 200 OKServer: QingStorDate: Sun, 16 Aug 09:05:02 GMTContent-Length: 300Connection: closex-qs-request-id: aa08cf7a43f611e5886952542e6ce14b{"statement": [{"id": "allow everyone to get and create objects","user": "*","action": ["get_object", "create_object"],"effect": "allow","resource": ["mybucket/*"],"condition":{"string_like": {"Referer": ["*.", "*."]}}},{"id": "allow everyone to head bucket","user": "*","action": "head_bucket","effect": "allow","condition":{"string_like": {"Referer": ["*.", "*."]},"string_not_like": {"Referer": ["*."]}} }]}

3.2.2 PUT Bucket Policy

若当前存储空间没有设置相应的 Policy，或已经设置的 Policy 满足不了乔巴的需求，这个时候，乔巴可以使用 PUT Bucket Policy 来设置新的存储空间策略。但是，被赋予该存储空间访问权限的娜美，就不能使用该 API 来设置乔巴的存储空间 Policy 了。

使用该 API 时，消息体需携带详细的 Policy 参数，用以设置 Policy。参数列表如下：

具体可以这样做：

请求示例：

PUT /?policy HTTP/1.1Host: mybucket.Date: Sun, 16 Aug 09:05:00 GMTContent-Length: 300Authorization: authorization string{"statement": [{"id": "allow certain site to get objects","user": "*","action": ["get_object"],"effect": "allow","resource": ["mybucket/*"],"condition": {"string_like": {"Referer": ["*.","*."]}}},{"id": "allow user-henry to list objects and create objects","user": "user-henry","action": ["list_objects", "create_object"],"resource": ["mybucket/*"],"effect": "allow"}]}

响应示例：

HTTP/1.1 200 OKServer: QingStorDate: Sun, 16 Aug 09:05:02 GMTContent-Length: 0Connection: closex-qs-request-id: aa08cf7a43f611e5886952542e6ce14b

3.2.3 DELETE Bucket Policy

若当前存储空间已经设置的 Policy 满足不了乔巴的需求，这个时候，乔巴可以使用 DELETE Bucket Policy 来删除已有的存储空间策略。但是，被赋予该存储空间访问权限的娜美，就不能使用该 API 来删除乔巴的存储空间 Policy 了。

乔巴删除自己的存储空间策略，无需携带额外的信息。具体可以这样做：

请求示例：

DELETE /?policy HTTP/1.1Host: mybucket.Date: Sun, 16 Aug 09:05:00 GMTAuthorization: authorization string

响应示例：

HTTP/1.1 204 NoContentServer: QingStorDate: Sun, 16 Aug 09:05:02 GMTContent-Length: 0Connection: closex-qs-request-id: aa08cf7a43f611e5886952542e6ce14b

四 结尾

乔巴使用这个功能，详细的设置了各位队友的权限，比如路飞不能访问背包；比如佐隆可以从背包里获取消炎药，治疗刀伤砍伤的药；比如乔治可以从背包里获取治疗烫伤的药等等。

通过 QingStor 对象存储的 Policy 功能，详细而又完善的设置了各位队友操作这个背包的权限。使得在紧急时刻，各位队友都能方便的拿到自己可以拿到的物品，以协助乔巴来救治伤员。

QingStor 对象存储在这里提醒各位，只有存储空间的所有者，才能使用该项功能哦！

更多文章

存储大师班

对象存储手把手教五 | 数据存取与加密

gg: 像写 Golang 一样生成代码

QingStor 招聘存储测试/运维/研发工程师

本文由博客一文多发平台 OpenWrite 发布！