阿里云OSS访问策略Bucket Policy是什么？

在默认情况下，阿里云所有的OSS资源都是私有的，只有资源拥有者才能访问这些资源。若拥有者希望他人也可以访问这些资源的话，就需要配置访问策略，授予他人访问的权限。Bucket Policy目前支持针对指定的用户、匿名用户授予带IP条件的访问策略。

如某公司创建了一个存储空间，需要指定内部员工仅可以访问存储空间内某个目录下的文件。首先，登陆对象存储OSS控制台，选择已经创建好的Bucket，在弹出的页面中单击文件管理，授权→新增授权。

在弹出的对话框中选择授权资源，其中整个Bucket是针对Bucket的所有资源生效；指定资源则仅针对指定的资源生效；针对单个文件，我们则需要输入完整的资源路径，如abc/myphoto.jpg；针对目录则需要加上/，如abc/。

这里我们选择指定目录，输入指定目录的路径，在授权用户栏输入子账号的UID号。子账号的UID号，可在控制台右上角企业→人员管理→单击子账号用户名，查看到多个子账号。多个子账号，需换行填写。授权操作可添加不同的权限，其中“只读”可授权用户对资源拥有读、列表和下载权限；“读/写”可授权用户对资源拥有读写权限；“完全控制”可授权用户对资源拥有所有操作的权限；“拒绝访问”则禁止用户访问资源。

我们选择只读之后单击确定完成操作。

Bucket Policy可以设置多条策略同时生效。如某个用户同时有只读和读/写的权限，则该用户拥有读写的权限。拒绝访问的权限优先级最高，如某个用户同时有只读、读/写和拒绝访问的权限，则该用户无法访问此资源。

我们用ussutill工具来测试一下授权之后的效果，以Windows7 64位系统为例，使用ussutill联系被授权账号。

输入命令ossutill64.exe cp oss://20181029/abc d:-r，复制abc目录的所有文件到D盘，提示下载成功。

打开D盘，可以看到我们的文件已经下载成功了。

更多信息参见：对象存储 OSS > 控制台用户指南 > 上传、下载和管理文件 > 使用Bucket Policy授权其他用户访问OSS资源

原文地址：https://aliyunnew.com/a/What-is-Aliyun-OSS-access-policy-Bucket-Policy.html