编辑华为云国际站代理商 OBS 跨区域复制的委托信任策略,核心是通过 IAM 控制台修改 JSON 策略,允许国际站 OBS 服务(obs.obsinternational.com)扮演该委托角色,同时绑定ObsReplicationRole系统策略,确保跨区域复制的权限与信任链路有效。以下是可直接操作的步骤与模板。
一、前置条件
- 已创建用于 OBS 跨区域复制的云服务委托(委托类型为 "云服务",委托方为 "对象存储服务(OBS)")。
- 委托已绑定
ObsReplicationRole系统策略(跨区域复制必需权限)。 - 登录国际站 IAM 控制台,拥有账号管理员或委托管理权限。
二、编辑信任策略步骤(国际站控制台操作)
-
进入委托管理:登录华为云国际站→IAM 控制台→左侧 "委托"→找到目标委托(如 ObsCRRDelegation)→点击 "编辑"→选择 "信任策略" 标签。
-
切换到 JSON 视图:默认可能为可视化视图,点击 "切换到 JSON 视图",替换 / 修改现有策略内容。
-
替换为国际站专属信任策略(核心): json
{ "Statement": [ { "Effect": "Allow", "Principal": { "Service": "obs.obsinternational.com" // 国际站OBS服务主体,必须准确 }, "Action": "sts:AssumeRole", "Condition": {} } ], "Version": "1.1" } -
保存策略:核对 JSON 格式无误后,点击 "确定" 保存,完成信任策略编辑。
三、关键配置说明(代理商协同要点)
-
服务主体正确性:国际站必须使用
obs.obsinternational.com,国内站为obs.myhuaweicloud.com,混用会导致权限验证失败。 -
策略版本:华为云 IAM 策略版本为
1.1,不可改为其他版本。 -
最小权限原则:仅允许 OBS 服务扮演该角色,无需添加其他 Principal,降低安全风险。
-
跨账号场景补充:若源桶与目标桶分属不同账号,需在目标桶配置桶策略,允许委托角色写入权限,示例如下: json
{ "Statement": [ { "Effect": "Allow", "Principal": { "IAM": "arn:huaweicloud:iam::源账号ID:role/ObsCRRDelegation" }, "Action": [ "obs:PutObject", "obs:ReplicateObject", "obs:ReplicateDelete" ], "Resource": "arn:huaweicloud:obs::目标账号ID:目标桶名/*" } ], "Version": "1.1" } -
代理商协助:核对国际站服务主体与账号 ARN 格式,避免因地域 / 账号差异导致信任失败。
四、验证与常见问题排查
- 验证信任有效性:保存后返回委托列表,查看 "信任状态" 为 "正常";配置跨区域复制规则时,能成功选择该委托。
- 常见错误处理:
- 服务主体错误:提示 "权限不足",检查是否使用
obs.obsinternational.com而非国内站地址。 - JSON 格式错误:使用 JSON 校验工具检查语法,确保无多余逗号 / 引号。
- 策略未生效:重新保存委托,或重启跨区域复制规则(删除后重新创建)。
- 服务主体错误:提示 "权限不足",检查是否使用
- 代理商协同:提供信任策略模板,协助核对账号 ARN 与桶策略配置,快速定位权限 / 信任问题。
五、代理商核心协同价值
| 环节 | 代理商动作 | 客户收益 |
|---|---|---|
| 策略模板 | 提供国际站专属信任策略 JSON 模板 | 避免服务主体错误,缩短配置时间 |
| 权限核对 | 确认委托绑定ObsReplicationRole,目标桶桶策略正确 |
避免跨区域复制权限不足 |
| 排障支持 | 协助定位信任策略语法 / 主体错误 | 降低配置失败率,保障复制链路稳定 |