前言建议所有的云服务资源访问都使用指定的RAM账户最小权限操作访问这样比较安全。这也是阿里云推荐的方式。所以你要为每一种阿里云资源创建RAM账户而且是创建AccessKey ID/AccessKey Secret 访问类型的账户。那配置了账户就肯定要给账户授权这样会多了一些稍微麻烦的操作。怎么创建RAM账户我就不介绍了涉及秘密太多自己到阿里云里搜RAM就能找到创建的面板操作也不复杂。一、OSS授权配置1、找到指定Bucket并点他进入详情。如果没有你要给OSS创建Bucket它是OSS的一个管理容器个人觉得类似MQTT的topic之类的分组具体解释请自行查询。2、创建策略在Bucket详情中找授权策略这个名称经常会变有的说叫Bucket Policy大致意思是这个在点击“新增授权”就可以打开弹窗新建授权配置制定的RAM账户操作这个OSS的容器了。二、MQTT授权1、配置账户权限策略找到入口登录阿里云 RAM 控制台在左侧菜单点击 权限管理 - 权限策略然后点击 创建权限策略。编写策略选择 脚本编辑 模式然后将以下代码粘贴进去。请务必替换代码中{}里的占位符红色字体为你自己的mqtt实例ID。然后 zsmCookingLog 替换为你的topic{Statement: [{Effect: Allow,Action: [mq:PUB,mq:SUB],Resource: [acs:mq:*:*:{你的MQTT实例ID}%zsmCookingLog]}],Version: 1}Actionmq:PUB是发布设备上传日志mq:SUB是订阅。根据你的需求只给上传权限就够的话可以只保留mq:PUB。Resource这是核心格式是acs:mq:*:*:{实例ID}%{Topic名称}。%符号是固定分隔符实例ID可以在 MQTT 控制台的实例详情页找到。实例是否有命名空间大多数新版 MQTT 实例是有命名空间的使用上面的格式。如果你的实例显示是“无命名空间”的旧版Resource 格式需要简化为acs:mq:*:*:{Topic名称}。你可以通过实例详情页确认2、策略授权OSS对象访问在上一步创建策略时输入策略名称后自动就会进入该策略详情然后可以在列表中点击“授权管理”面板然后点 新增授权 按钮可以在弹窗中选择你建好的RAM账户绑定这个策略。