阿里云OSS同区域，跨账号复制需要什么权限啊？

阿里云OSS同区域，跨账号复制需要什么权限？🧐

在阿里云OSS（对象存储服务）中，如果你希望在同一个地域下跨账号进行对象复制，需要为涉及的账号配置合适的访问权限。这里主要涉及源账号和目标账号。

1. 相关角色及权限概述

• 源账号（A）：拥有原始Bucket和待复制Object。
• 目标账号（B）：负责接收并写入新Object到自己的Bucket。

2. 权限要求明细🔒

1) 源端 Bucket 的授权

源端的Bucket需要授权目标账号的 ram用户/角色 能够读取被复制的Object。通常做法是在源Bucket上添加一条Bucket Policy或RAM授权，允许目标账号对指定Object执行oss:GetObject操作。

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["oss:GetObject"],
      "Resource": ["acs:oss:*:*:source-bucket/*"],
      "Principal": ["acs:ram::目标账号ID:root"]
    }
  ]
}
        

2) 目标端 Bucket 的授权

目标账号需要有权限向目标Bucket进行写入（oss:PutObject），这个一般目标账号本身就具备。如果是委托其他RAM用户/角色来操作，还需确保其拥有对应写入权限。

3. 其它注意事项💡

• 如果使用 OSS 控制台、API 或 SDK发起跨账号复制任务，发起者（即操作账号）必须有源端读和目标端写双重权限。
• 如果是通过“CopyObject”或跨账号同步 (CRR)，需要确保目标账号具备相应的权限，且源端已做信任授权。
• 如涉及 KMS加密对象或特殊元数据，还需要额外授权。

4. 总结 ✅

• 源Bucket授权目标账号/用户oss:GetObject
• 目标账号/用户已有目标Bucket的oss:PutObject权限

配置好这些权限后，就能顺利实现同区域跨账号对象复制了！🚀

参考文档：阿里云OSS 跨账号访问配置