Вы можете настроить доступ к
-хранилищу так, чтобы пользователь мог попадать только в созданный для него бакет и не видел остальных бакетов.Для этого:
Создайте группу пользователей в сервисе
.Добавьте IAM-пользователя и поместите его в созданную группу.
Сгенерируйте ключи доступа AK/SK для пользователя.
Создайте пользовательскую политику и добавьте ее группе, в которую входит пользователь.
Пример пользовательской политики в формате
, которая разрешает выбранные действия над бакетом с именем «my-bucket»:{"Version": "1.1","Statement": [{"Action": ["obs:bucket:ListBucketMultipartUploads","obs:bucket:HeadBucket","obs:bucket:ListBucket"],"Resource": ["obs:*:*:bucket:my-bucket"],"Effect": "Allow"}]}