对象存储oss怎么用，对象存储oss支持子帐号

***：本文围绕对象存储oss展开，主要涉及两方面内容，一是关于对象存储oss的使用方法，但未详细阐述具体操作步骤；二是提及对象存储oss支持子帐号这一特性，不过也没有深入说明支持子帐号在功能、权限管理或者使用场景等方面的更多信息。整体只是对对象存储oss使用及支持子帐号这两点进行了简单提及。

本文目录导读：

1. 对象存储OSS简介
2. 子帐号在OSS中的作用
3. OSS子帐号的使用步骤
4. 安全注意事项

《对象存储OSS支持子帐号：功能解析与使用指南》

对象存储OSS简介

对象存储OSS（Object Storage Service）是一种海量、安全、低成本、高可靠的云存储服务，它能够让企业和开发者轻松存储、管理和访问任何类型的数据，无论是图片、视频、文档还是其他二进制数据等，OSS具有高扩展性，可以满足从小型创业公司到大型企业的不同存储需求。

子帐号在OSS中的作用

1、权限精细管理

- 在企业或团队环境中，不同成员可能需要对OSS中的资源进行不同的操作，开发人员可能只需要上传和读取与项目相关的文件，而运维人员可能需要管理存储桶的配置等更多权限，通过创建子帐号，可以为每个子帐号精确分配权限，可以给开发子帐号授予某个特定存储桶下特定文件夹的读写权限，而禁止其对其他存储桶或者存储桶内其他资源的操作。

- 这样精细的权限管理有助于提高数据的安全性，防止因权限过大导致的数据误操作或者恶意操作。

2、资源隔离与成本核算

- 对于多项目或者多部门的企业，不同的项目或部门可以使用各自的子帐号来操作OSS资源，每个子帐号对应特定的资源使用范围，方便进行资源的隔离，不同的业务部门可以有自己独立的子帐号来管理本部门的数据存储，互不干扰。

- 在成本核算方面，通过子帐号可以清晰地统计每个项目或者部门在OSS上的资源消耗，如存储量、流量等，有助于企业进行精准的成本控制和资源优化。

OSS子帐号的使用步骤

（一）创建子帐号

1、访问阿里云控制台

- 登录到阿里云控制台，如果您还没有账号，需要先注册一个阿里云账号，进入控制台后，找到访问控制（RAM）服务。

2、在RAM中创建用户（子帐号）

- 在RAM控制台中，点击“用户”菜单，然后选择“创建用户”，输入子帐号的用户名、显示名称等基本信息，可以选择设置登录密码或者使用临时访问密钥，如果选择使用临时访问密钥，需要注意密钥的安全保管，因为它可以直接用于访问OSS资源。

3、配置子帐号组（可选）

- 为了方便管理，可以将多个子帐号划分到同一个用户组中，在RAM中创建用户组，并将子帐号添加到相应的用户组，这样可以对用户组统一设置权限策略，提高权限管理的效率。

（二）为子帐号分配OSS权限

1、自定义权限策略（高级）

- 如果企业有特殊的权限需求，可以创建自定义的权限策略，在RAM控制台中，点击“权限策略”菜单，然后选择“创建权限策略”，通过编写策略文档，精确控制子帐号对OSS资源的操作权限，可以定义一个策略，允许子帐号仅对某个特定存储桶中的特定前缀（如特定文件夹）进行上传操作，而禁止删除操作。

- 编写策略文档需要熟悉OSS的权限模型和访问控制语法，以下是一个简单的示例策略文档：

{
    "Version": "1.0",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "oss:PutObject"
            ],
            "Resource": [
                "acs:oss:*:*:your - bucket - name/your - folder - name/*"
            ]
        },
        {
            "Effect": "Deny",
            "Action": [
                "oss:DeleteObject"
            ],
            "Resource": [
                "acs:oss:*:*:your - bucket - name/your - folder - name/*"
            ]
        }
    ]
}

2、使用预设权限策略（便捷）

- 阿里云RAM为OSS提供了一些预设的权限策略，如“AliyunOSSFullAccess”（完全访问权限）、“AliyunOSSReadOnlyAccess”（只读访问权限）等，可以根据子帐号的需求，直接将这些预设策略授予子帐号，在RAM控制台中，找到子帐号，点击“添加权限”，然后选择相应的预设权限策略。

（三）子帐号访问OSS

1、使用控制台访问（如果有控制台权限）

- 如果为子帐号授予了控制台访问权限，子帐号可以登录到阿里云控制台，然后在控制台中访问OSS服务，子帐号登录后，只能看到和操作自己有权限的OSS资源，例如存储桶和对象。

2、使用API或SDK访问

- 对于开发人员，更多时候会使用OSS的API或者SDK来访问OSS资源，当使用子帐号的访问密钥（AccessKey ID和AccessKey Secret）时，在代码中配置相应的密钥信息，然后按照OSS API或者SDK的规范进行操作，在使用Python的OSS SDK时：

import oss2
子帐号的AccessKey ID和AccessKey Secret
access_key_id = 'your - sub - account - access - key - id'
access_key_secret = 'your - sub - account - access - key - secret'
创建OSS客户端
auth = oss2.Auth(access_key_id, access_key_secret)
bucket = oss2.Bucket(auth, 'your - oss - endpoint', 'your - bucket - name')
进行操作，如上传文件
with open('your - local - file - path', 'rb') as file:
    bucket.put_object('your - object - key', file)

安全注意事项

1、访问密钥安全

- 子帐号的访问密钥（尤其是AccessKey Secret）是访问OSS资源的重要凭证，要确保密钥的安全保管，不要将其泄露在公开的代码库或者不安全的环境中，如果发现密钥可能被泄露，应及时在RAM控制台中重新生成密钥。

2、权限定期审查

- 随着企业业务的发展和人员的变动，子帐号的权限可能需要进行调整，定期审查子帐号的权限，确保其权限仍然符合业务需求，避免因权限过度或者权限不足影响业务的正常开展。

3、网络安全防护

- 在子帐号通过API或者SDK访问OSS时，要确保网络环境的安全，如果是在云服务器上进行访问，要注意云服务器的安全配置，如防火墙设置等；如果是在本地开发环境中访问，要防止网络攻击，例如使用安全的网络连接（如VPN）等。

对象存储OSS支持子帐号为企业和团队在存储资源管理方面提供了极大的便利，通过合理创建子帐号、精确分配权限并注意安全事项，可以高效、安全地利用OSS的强大存储功能。