桶(tong)策(ce)(ce)略(lve)是一種用(yong)于控制桶(tong)訪問權(quan)限的策(ce)(ce)略(lve)，允許桶(tong)的所有者授予其他用(yong)戶特定權(quan)限。通過桶(tong)策(ce)(ce)略(lve)，所有者可以靈(ling)活地(di)定義和管理桶(tong)的訪問權(quan)限。

約束與限制

桶策略（基礎版）和桶策略（進階版）支持的區域請參見產品能力地圖，可(ke)根據需要選擇其中(zhong)一種，通過(guo)提工單(dan)申請(qing)權限(xian)。

桶策略（基礎版）操作步驟

1. 點擊天翼云門戶首頁的“控制中心”，輸入登錄的用戶名和密碼，進入控制中心頁面。
2. 在控制臺上方點擊，選擇地域，以下操作選擇華東-華東1。
3. 在控制臺首頁，選擇“存儲>對象存儲”。
4. 在ZOS控制臺，單擊Bucket名稱進入“概覽”頁面。
5. 選擇“權限管理”頁面，找到“桶策略”，點擊“設置”按鈕。

6. 在“桶策略”設置頁面，點擊“創建策略”，根據提示完成參數設置。

7. 配置完成后，點擊“確定”，桶策略創建成功。

桶策略（進階版）操作步驟

1.? 點擊天(tian)翼(yi)云(yun)門戶首頁的“控制中心”，輸(shu)入登錄的用戶名和(he)密碼(ma)，進入控制中心頁面。

2.? 在控制臺上方點擊，選擇(ze)地域，以下操作選擇(ze)華東-華東1。

3.? 在控制臺首頁，選擇“存儲(chu)>對象存儲(chu)”。

4.? 在ZOS控(kong)制臺，單擊Bucket名稱進入“概覽”頁面。

5.? 選擇“權限管理”頁面，找到(dao)“桶策(ce)略”，點擊“設置”按鈕

6.? 選擇(ze)可視化視圖配(pei)置(zhi)，在“可視化視圖”頁簽(qian)下，點(dian)擊“創建策(ce)略”按鈕，根據提示完成(cheng)參數設置(zhi)。

說明
授權用戶選擇子賬號，下拉列表默認展示郵箱，若無郵箱展示用戶名。展示的優先順序如下：數字、字母、特殊字符、中文漢字。
主賬(zhang)號(hao)ID和子賬(zhang)號(hao)ID為(wei)用戶ID，可進入(ru)IAM控制(zhi)臺，在“用戶”界面獲取。

方式一：使用模板創建桶策略

ZOS控制臺預置(zhi)了五種(zhong)常用典型場(chang)景的桶策(ce)略模板(ban)，授權(quan)策(ce)略時選擇(ze)已有策(ce)略模板(ban)配置(zhi)，可以快速完成桶策(ce)略的配置(zhi)。

方式二：使用自定義配置創建桶策略

若(ruo)實際業務(wu)場(chang)景(jing)存在(zai)定制化策略配(pei)(pei)置(zhi)需求，可(ke)不選擇(ze)已有的策略模板，在(zai)授權(quan)策略時通(tong)過自定義配(pei)(pei)置(zhi)來選擇(ze)策略。

通(tong)過(guo)點(dian)擊“添加(jia)策(ce)(ce)略”，進(jin)入選擇(ze)策(ce)(ce)略彈窗中選擇(ze)具體的策(ce)(ce)略。

說明
如(ru)果“授(shou)權(quan)資源”僅選擇“整個(ge)桶（包括桶內對象(xiang)）”，可選擇配置“通用操作”、“桶操作”和(he)“對象(xiang)操作”。
如果“授(shou)權(quan)資(zi)源(yuan)”僅選擇“當(dang)前桶”，可(ke)選擇配置“通用操作(zuo)”和“桶操作(zuo)”。
如果(guo)“授權資源”僅選(xuan)擇(ze)“桶(tong)內(nei)對(dui)象(xiang)”，可選(xuan)擇(ze)配置“通用操作(zuo)(zuo)”和“對(dui)象(xiang)操作(zuo)(zuo)”。
如果(guo)“授權資源”同時選(xuan)擇(ze)“當前桶”和“桶內(nei)對象(xiang)”，可選(xuan)擇(ze)配置“通用操作(zuo)(zuo)”、“桶操作(zuo)(zuo)”和“對象(xiang)操作(zuo)(zuo)。

7.??點擊“確定”，完成可視(shi)化(hua)視(shi)圖策(ce)略(lve)的創建。

方式三：使用JSON視圖創建桶策略

熟悉JSON以及桶策略語法結構的用戶，可以直(zhi)接使(shi)用JSON視圖編(bian)輯桶策略。在“JSON視圖”頁簽下(xia)，點擊(ji)“編(bian)輯”按鈕進行設置。

桶策略JSON格式(shi)如下：

{
	"Statement": [
		{
            "Sid": "policyNamexxxx",
            "Effect": "Allow",
			"Resource": [
				"arn:aws:s3:::buckename",
				"arn:aws:s3:::bucketname/*"
			],
			"Action": [
				"s3:GetObject",
				"s3:GetObjectAcl",
				"s3:GetObjectVersion",
				"s3:GetObjectVersionAcl",
				"s3:ListBucket",
				"s3:RestoreObject"
			],
			"Condition": {
				"StringEquals": {
					"aws:SourceVpce": [
						"endpoint-r20l0nb8d8"
					]
				}
			},
			"Principal": {
				"AWS": [
		"arn:aws:iam:::user/c1117249994640a59eb3f2dfd47896a6"
				]
			}
		}
	]
}

參數說明如下：

?

附錄一：桶策略授權操作

• 通用操作

• 桶操作

• 對象操作

附錄二：策略生效的條件

除(chu)了指定效力、被授權用戶、資(zi)源、動作外，桶策略還可以(yi)指定生(sheng)效條件。只(zhi)有當條件設置的(de)表(biao)達式與訪問請求(qiu)中的(de)值匹配時，桶策略才(cai)生(sheng)效。條件是(shi)可選(xuan)參(can)數，用戶可以(yi)根據業(ye)務需要(yao)選(xuan)擇是(shi)否使用。

條(tiao)(tiao)(tiao)(tiao)件由條(tiao)(tiao)(tiao)(tiao)件運(yun)算(suan)符、條(tiao)(tiao)(tiao)(tiao)件鍵(jian)、條(tiao)(tiao)(tiao)(tiao)件值三部分(fen)組(zu)成，最終組(zu)成一(yi)(yi)(yi)個(ge)(ge)條(tiao)(tiao)(tiao)(tiao)件表達(da)式，決定(ding)桶策略生(sheng)效的(de)(de)(de)條(tiao)(tiao)(tiao)(tiao)件。同一(yi)(yi)(yi)個(ge)(ge)條(tiao)(tiao)(tiao)(tiao)件運(yun)算(suan)符中，如(ru)果存(cun)在(zai)多個(ge)(ge)相(xiang)同的(de)(de)(de)鍵(jian)，則只會(hui)保留(liu)最后一(yi)(yi)(yi)個(ge)(ge)鍵(jian)。條(tiao)(tiao)(tiao)(tiao)件運(yun)算(suan)符、鍵(jian)兩(liang)者之(zhi)間(jian)存(cun)在(zai)互相(xiang)限制的(de)(de)(de)關(guan)聯關(guan)系(xi)，例如(ru)：條(tiao)(tiao)(tiao)(tiao)件運(yun)算(suan)符選擇了(le)一(yi)(yi)(yi)個(ge)(ge)String類(lei)型的(de)(de)(de)，比(bi)如(ru)StringEquals，鍵(jian)就(jiu)(jiu)只能選擇String類(lei)型的(de)(de)(de)，比(bi)如(ru)s3:x-amz-acl。鍵(jian)選擇了(le)一(yi)(yi)(yi)個(ge)(ge)Date類(lei)型，比(bi)如(ru)aws:CurrentTime ，條(tiao)(tiao)(tiao)(tiao)件運(yun)算(suan)符就(jiu)(jiu)只能選擇Date類(lei)型的(de)(de)(de)，比(bi)如(ru)DateEquals。

●?條件運算符：

●?鍵值說明：

?