tencent cloud

Cloud Object Storage

ドキュメントCloud Object Storage実践チュートリアルアクセス制御と権限管理COS APIライセンスポリシーガイド

COS APIライセンスポリシーガイド

PDF
フォーカスモード
フォントサイズ
最終更新日: 2019-12-31 14:29:25
注意:
サブユーザーや協力者にAPI操作権限を付与する場合は、業務ニーズや最低権限原則に応じてライセンスを確保してください。もしあなたが直接サブユーザーや協力者にすべての資源を付与する場合(resource:*)またはすべての操作(action:*)権限の場合,権限範囲が大きすぎるため,データセキュリティリスクが存在する.

概述

COSが一時鍵サービスを使用する場合には、異なるCOS APIに対して動作を実行するための異なる権限を付与すべきであり、1つの動作または1組の動作を指定することができる。
COS APIポリシーは、JSON文字列である。例えば、以下のポリシーは、パスプレフィックス付きオブジェクトに対してアップロード動作(簡単なアップロード、フォームアップロード、および複数の部分アップロードを含む)を実行する権限を与えるdoc2桶の中にexamplebucket-1250000000APID下の“AP-北京”エリア1250000000
{
    "version": "2.0",
    "statement": [{
            "action": [
                // Simple upload 
                "name/cos:PutObject",
                // Form upload 
                "name/cos:PostObject",
                // Multipart upload: initialize multipart upload 
                "name/cos:InitiateMultipartUpload",
                // Multipart upload: list uploaded parts 
                "name/cos:ListParts",
                // Multipart upload: upload parts 
                "name/cos:UploadPart",
                // Multipart upload: complete the upload of all parts 
                "name/cos:CompleteMultipartUpload",
                // Cancel multipart Upload 
                "name/cos:AbortMultipartUpload"
            ],
            "effect": "allow",
            "resource": [
                "qcs::cos:ap-beijing:uid/1250000000:examplebucket-1250000000/doc/*"
            ]
        },
        {
            "action": [
                // Download 
                "name/cos:GetObject"
            ],
            "effect": "allow",
            "resource": [
                "qcs::cos:ap-beijing:uid/1250000000:examplebucket-1250000000/doc2/*"
            ]
        }
    ]
}

策略元素説明

名称.
説明する.
バージョン
ポリシー文法のバージョンは,デフォルトでは2.0である.
影響.
許可と拒否
資源.
許可された動作の特定のデータ。任意のリソース、指定プレフィックスを有する経路中のリソース、絶対経路中のリソース、またはそれらの組合せを指定することができる
行くぞ!
1つの動作、1組の動作、またはすべての動作(を指定するためのCOS API)を指示する*)必要に応じて
条件.
条件、これは選択可能です。より多くの情報については、ご参照ください条件.
以下にCOS APIごとのポリシー設定例を示す.

サービスAPI

クエリーバケツリスト

APIはGET Serviceです。この権限を付与するには、action保険書にはname/cos:GetServiceresourceそのはずです。*.

実例

以下の戦略は、格納桶のリストを照会する権限を与える:
{
  "version": "2.0",
  "statement": [
    {
      "action": [
        "name/cos:GetService"
      ],
      "effect": "allow",
      "resource": [
        "*"
      ]
    }
  ]
}

バレルAPI

resourceBucket APIでは、ポリシーは以下のように記述できる。
どのエリアのメモリーバレルに対しても操作を行いたい場合は、ご利用くださいresourceそのはずです。*.
動作は、指定された領域内のストレージ·バケット上でのみ行われ、例えば、ストレージ·バケットに対して実行される。examplebucket-1250000000この地域ではap-beijingアプリの下で1250000000``resourceそのはずです。qcs::cos:ap-beijing:uid/1250000000:examplebucket-1250000000/*.
指定された領域に指定された名前を有するストレージ·バケットのみで動作が行われ、例えば、ストレージ·バケットに対して動作が行われる。examplebucket-1250000000この地域ではap-beijingアプリの下で1250000000``resourceそのはずです。qcs::cos:ap-beijing:uid/1250000000:examplebucket-1250000000/.
actionBucket APIでは、ポリシーは操作によって異なります。以下にすべてのBucket APIポリシーを挙げます。

たるをつくる

APIはバケツに入れられている。action保険書にはname/cos:PutBucket.

実例

以下のポリシーは、領域内に任意の名称のストレージバレルを作成する権限を付与するap-beijingアプリの下で1250000000
{
  "version": "2.0",
  "statement": [
    {
      "action": [
        "name/cos:PutBucket"
      ],
      "effect": "allow",
      "resource": [
        "qcs::cos:ap-beijing:uid/1250000000:examplebucket-1250000000/"
      ]
    }
  ]
}

検査バレルとその権限

APIはHead Bucket。この権限を付与するには、action保険書にはname/cos:HeadBucket.

実例

以下のポリシーは、ストレージバケツのみを検索する権限を付与するexamplebucket-1250000000この地域ではap-beijingアプリの下で1250000000
{
  "version": "2.0",
  "statement": [
    {
      "action": [
        "name/cos:HeadBucket"
      ],
      "effect": "allow",
      "resource": [
        "qcs::cos:ap-beijing:uid/1250000000:examplebucket-1250000000/"
      ]
    }
  ]
}

照会先リスト

APIはget Bucket。この権限を付与するには、action保険書にはname/cos:GetBucket.

実例

以下のポリシーは、ストレージ·バケット内のオブジェクトリストのみを照会する権限を付与するexamplebucket-1250000000この地域ではap-beijingアプリの下で1250000000
{
  "version": "2.0",
  "statement": [
    {
      "action": [
        "name/cos:GetBucket"
      ],
      "effect": "allow",
      "resource": [
        "qcs::cos:ap-beijing:uid/1250000000:examplebucket-1250000000/"
      ]
    }
  ]
}

バレル削除

APIはDelete Bucketである。action保険書にはname/cos:DeleteBucket.

実例

以下のポリシーは、ストレージバレルを削除する権限のみを付与するexamplebucket-1250000000この地域ではap-beijingアプリの下で1250000000
{
  "version": "2.0",
  "statement": [
    {
      "action": [
        "name/cos:DeleteBucket"
      ],
      "effect": "allow",
      "resource": [
        "qcs::cos:ap-beijing:uid/1250000000:examplebucket-1250000000/"
      ]
    }
  ]
}

バレルACLをセット

APIはBucket ACLとして置かれている。action保険書にはname/cos:PutBucketACL.

実例

以下のポリシーは、ストレージバレルにのみACLを設定する権限を付与するexamplebucket-1250000000この地域ではap-beijingアプリの下で1250000000
{
  "version": "2.0",
  "statement": [
    {
      "action": [
        "name/cos:PutBucketACL"
      ],
      "effect": "allow",
      "resource": [
        "qcs::cos:ap-beijing:uid/1250000000:examplebucket-1250000000/"
      ]
    }
  ]
}

問合せデータバレルACL

APIはget Bucket ACLである。action保険書にはname/cos:GetBucketACL.

実例

以下のポリシーは、ストレージ·バケット内のACLを取得する権限のみを付与するexamplebucket-1250000000この地域ではap-beijingアプリの下で1250000000
{
  "version": "2.0",
  "statement": [
    {
      "action": [
        "name/cos:GetBucketACL"
      ],
      "effect": "allow",
      "resource": [
        "qcs::cos:ap-beijing:uid/1250000000:examplebucket-1250000000/"
      ]
    }
  ]
}

ソース・アクセス構成を設定する.

APIはBucket CORSに置かれている。action保険書にはname/cos:PutBucketCORS.

実例

以下のポリシーは、bucketに対してソースアクセス構成のみを設定する権限を与えるexamplebucket-1250000000この地域ではap-beijingアプリの下で1250000000
{
  "version": "2.0",
  "statement": [
    {
      "action": [
        "name/cos:PutBucketCORS"
      ],
      "effect": "allow",
      "resource": [
        "qcs::cos:ap-beijing:uid/1250000000:examplebucket-1250000000/"
      ]
    }
  ]
}

リモート·ソース·アクセス構成を調べる

APIはget Bucket Cors。action保険書にはname/cos:GetBucketCORS.

実例

以下のポリシーは、ストレージ·バケットのソース·アクセス構成を問い合わせる権限のみを与えるexamplebucket-1250000000この地域ではap-beijingアプリの下で1250000000
{
  "version": "2.0",
  "statement": [
    {
      "action": [
        "name/cos:GetBucketCORS"
      ],
      "effect": "allow",
      "resource": [
        "qcs::cos:ap-beijing:uid/1250000000:examplebucket-1250000000/"
      ]
    }
  ]
}

ソースアクセス構成を削除

APIはDELETE Bucket Corsである。action保険書にはname/cos:DeleteBucketCORS.

実例

以下のポリシーは、ストレージバレルのソースアクセス構成を削除する権限のみを与えるexamplebucket-1250000000この地域ではap-beijingアプリの下で1250000000
{
  "version": "2.0",
  "statement": [
    {
      "action": [
        "name/cos:DeleteBucketCORS"
      ],
      "effect": "allow",
      "resource": [
        "qcs::cos:ap-beijing:uid/1250000000:examplebucket-1250000000/"
      ]
    }
  ]
}

ライフサイクルを設ける

APIはBucketライフサイクル。この権限を付与するには、action保険書にはname/cos:PutBucketLifecycle.

実例

以下のポリシーは、bucketにのみライフサイクルを設定する権限を付与します。examplebucket-1250000000この地域ではap-beijingアプリの下で1250000000
{
  "version": "2.0",
  "statement": [
    {
      "action": [
        "name/cos:PutBucketLifecycle"
      ],
      "effect": "allow",
      "resource": [
        "qcs::cos:ap-beijing:uid/1250000000:examplebucket-1250000000/"
      ]
    }
  ]
}

照会ライフサイクル

APIはget Bucketライフサイクル。action保険書にはname/cos:GetBucketLifecycle.

実例

以下のポリシーは、ストレートライフサイクルのみを照会する権限を付与するexamplebucket-1250000000この地域ではap-beijingアプリの下で1250000000
{
  "version": "2.0",
  "statement": [
    {
      "action": [
        "name/cos:GetBucketLifecycle"
      ],
      "effect": "allow",
      "resource": [
        "qcs::cos:ap-beijing:uid/1250000000:examplebucket-1250000000/"
      ]
    }
  ]
}

ライフサイクル削除

APIはDELETE Bucketライフサイクル。action保険書にはname/cos:DeleteBucketLifecycle.

実例

以下のポリシーは、ストレートライフサイクルを削除する権限のみを付与するexamplebucket-1250000000この地域ではap-beijingアプリの下で1250000000
{
  "version": "2.0",
  "statement": [
    {
      "action": [
        "name/cos:DeleteBucketLifecycle"
      ],
      "effect": "allow",
      "resource": [
        "qcs::cos:ap-beijing:uid/1250000000:examplebucket-1250000000/"
      ]
    }
  ]
}

問い合わせ多部アップロード

このAPIは、ストレージ·バケツで行われている多部分アップロードを調べるためのものだ。action保険書にはname/cos:ListMultipartUploads.

実例

以下のポリシーは、ストレージ·バケット内で行われている複数のアップロードを照会する権限のみを付与するexamplebucket-1250000000この地域ではap-beijingアプリの下で1250000000
{
  "version": "2.0",
  "statement": [
    {
      "action": [
        "name/cos:ListMultipartUploads"
      ],
      "effect": "allow",
      "resource": [
        "qcs::cos:ap-beijing:uid/1250000000:examplebucket-1250000000/"
      ]
    }
  ]
}

オブジェクトAPI

resourceオブジェクトAPIでは、ポリシーは以下のように記述されることができる。
いかなる対象に対して操作を実行するならば、resourceそのはずです。*.
例えば、ストレージバケット内のどのオブジェクトに対しても動作が実行されるように、指定されたバケット内のオブジェクトに対してのみ動作が実行される。examplebucket-1250000000この地域ではap-beijingアプリの下で1250000000``resourceそのはずです。qcs::cos:ap-beijing:uid/1250000000:examplebucket-1250000000/*.
経路プレフィックスを指定した指定されたストレージ·バケット内のオブジェクトに対してのみ動作が実行され、例えば、ストレージ·バケット内のいずれかのオブジェクトに対して動作が実行される。examplebucket-1250000000この地域ではap-beijing経路プレフィックスを使用するdocアプリの下で1250000000``resourceそのはずです。qcs::cos:ap-beijing:uid/1250000000:examplebucket-1250000000/doc/*.
絶対経路を指定したオブジェクトに対してのみ操作を実行し,たとえば,絶対経路中のオブジェクトに対して操作を行う.doc/audio.mp3桶の中にexamplebucket-1250000000この地域ではap-beijingアプリの下で1250000000``resourceそのはずです。qcs::cos:ap-beijing:uid/1250000000:examplebucket-1250000000/doc/audio.mp3.
actionオブジェクトAPIポリシーでは,操作が異なる.以下にすべてのオブジェクトAPIポリシーを列挙する.

簡単にアップロード対象を使用する

APIはPUTオブジェクトである.この権限を付与するには,action保険書にはname/cos:PutObject.

実例

以下のポリシーは,パスプレフィックスを持つオブジェクトのみを簡単なアップロードでアップロードする権限を与える.doc桶の中にexamplebucket-1250000000この地域ではap-beijingアプリの下で1250000000
 {
  "version": "2.0",
  "statement": [
    {
      "action": [
        "name/cos:PutObject"
      ],
      "effect": "allow",
      "resource": [
        "qcs::cos:ap-beijing:uid/1250000000:examplebucket-1250000000/doc/*"
      ]
    }
  ]
}

多部分じょうさい

複数部分アップロードAPIは、複数部分アップロードを開始すること、リストアップ部分、アップロード部分、複数部分アップロードを完了すること、および多部分アップロードを中止することを含む。action保険書の中では集合すべきです。"name/cos:InitiateMultipartUpload","name/cos:ListParts","name/cos:UploadPart","name/cos:CompleteMultipartUpload","name/cos:AbortMultipartUpload".

実例

以下のポリシーは,パスプレフィックスを持つオブジェクトのみを複数の部分アップロードでアップロードする権限を与える.doc桶の中にexamplebucket-1250000000この地域ではap-beijingアプリの下で1250000000
{
  "version": "2.0",
  "statement": [
    {
      "action": [
        "name/cos:InitiateMultipartUpload",
        "name/cos:ListParts",
        "name/cos:UploadPart",
        "name/cos:CompleteMultipartUpload",
        "name/cos:AbortMultipartUpload"
      ],
      "effect": "allow",
      "resource": [
        "qcs::cos:ap-beijing:uid/1250000000:examplebucket-1250000000/doc/*"
      ]
    }
  ]
}

窓を使ってオブジェクトを載せる

APIはPOSTオブジェクト。この権限を付与するには、action保険書にはname/cos:PostObject.

実例

以下のポリシーは,POST法を用いてパスプレフィックスを持つオブジェクトのみをアップロードする権限を与える.doc桶の中にexamplebucket-1250000000この地域ではap-beijingアプリの下で1250000000
{
  "version": "2.0",
  "statement": [
    {
      "action": [
        "name/cos:PostObject"
      ],
      "effect": "allow",
      "resource": [
        "qcs::cos:ap-beijing:uid/1250000000:examplebucket-1250000000/doc/*"
      ]
    }
  ]
}

照会先メタデータ

APIはheadオブジェクトである.action保険書にはname/cos:HeadObject.

実例

以下のポリシーは、経路プレフィックスを使用して対象を照会する権限のみを付与するdoc桶の中にexamplebucket-1250000000この地域ではap-beijingアプリの下で1250000000
{
  "version": "2.0",
  "statement": [
    {
      "action": [
        "name/cos:HeadObject"
      ],
      "effect": "allow",
      "resource": [
        "qcs::cos:ap-beijing:uid/1250000000:examplebucket-1250000000/doc/*"
      ]
    }
  ]
}

ダウンロード対象

APIはGETオブジェクトです。この権限を付与するには、action保険書にはname/cos:GetObject.

実例

以下のポリシーは,パスプレフィックス付きオブジェクトのみをダウンロードする権限を与える.doc桶の中にexamplebucket-1250000000この地域ではap-beijingアプリの下で1250000000
{
  "version": "2.0",
  "statement": [
    {
      "action": [
        "name/cos:GetObject"
      ],
      "effect": "allow",
      "resource": [
        "qcs::cos:ap-beijing:uid/1250000000:examplebucket-1250000000/doc/*"
      ]
    }
  ]
}

複製対象

APIは対象コピーとして置かれている。action戦略中の目標対象のname/cos:PutObjectactionソースオブジェクトのname/cos:GetObject.

実例

以下のポリシーは,「多部分複製」(Multipart Copy)を用いて,プレフィックスとなっていた経路間で任意のオブジェクトを複製する権限を与える.doc経路の接頭辞はdoc2桶の中にexamplebucket-1250000000この地域ではap-beijingアプリの下で1250000000
{
  "version": "2.0",
  "statement": [
    {
      "action": [
        "name/cos:PutObject"
      ],
      "effect": "allow",
      "resource": [
        "qcs::cos:ap-beijing:uid/1250000000:examplebucket-1250000000/doc/*"
      ]
    },
    {
      "action": [
        "name/cos:GetObject"
      ],
      "effect": "allow",
      "resource": [
        "qcs::cos:ap-beijing:uid/1250000000:examplebucket-1250000000/doc2/*"
      ]
    }
  ]
}
ここ。"qcs::cos:ap-beijing:uid/1250000000:examplebucket-1250000000/doc2/*"ソースの相手です。

イミテーションの部品

このAPIはアップロード部分のコピーです。この権限を付与するには、ご利用くださいaction戦略中の目標対象の集合は"name/cos:InitiateMultipartUpload","name/cos:ListParts","name/cos:PutObject","name/cos:CompleteMultipartUpload","name/cos:AbortMultipartUpload"actionソースオブジェクトのname/cos:GetObject.

実例

以下のポリシーは,「多部分複製」(Multipart Copy)を用いて,プレフィックスとなっていた経路間で任意のオブジェクトを複製する権限を与える.doc経路の接頭辞はdoc2桶の中にexamplebucket-1250000000この地域ではap-beijingアプリの下で1250000000
{
  "version": "2.0",
  "statement": [
    {
      "action": [
        "name/cos:InitiateMultipartUpload",
        "name/cos:ListParts",
        "name/cos:PutObject",
        "name/cos:CompleteMultipartUpload",
        "name/cos:AbortMultipartUpload"
      ],
      "effect": "allow",
      "resource": [
        "qcs::cos:ap-beijing:uid/1250000000:examplebucket-1250000000/doc/*"
      ]
    },
    {
      "action": [
        "name/cos:GetObject"
      ],
      "effect": "allow",
      "resource": [
        "qcs::cos:ap-beijing:uid/1250000000:examplebucket-1250000000/doc2/*" 
      ]
    }
  ]
}
ここ。"qcs::cos:ap-beijing:uid/1250000000:examplebucket-1250000000/doc2/*"ソースの相手です。

設定対象ACL

APIはオブジェクトACLを置く。この権限を付与するには、action保険書にはname/cos:PutObjectACL.

実例

以下のポリシーは,パスプレフィックスを持つオブジェクトに対してのみACLを設定する権限を与える.doc桶の中にexamplebucket-1250000000この地域ではap-beijingアプリの下で1250000000
{
  "version": "2.0",
  "statement": [
    {
      "action": [
        "name/cos:PutObjectACL"
      ],
      "effect": "allow",
      "resource": [
        "qcs::cos:ap-beijing:uid/1250000000:examplebucket-1250000000/doc/*"
      ]
    }
  ]
}

問合せ先ACL

APIはGETオブジェクトACLである.この権限を付与するには,action保険書にはname/cos:GetObjectACL.

実例

以下のポリシーは,パスプレフィックスを持つオブジェクトのみを問い合わせるACLの権限を与える.doc桶の中にexamplebucket-1250000000この地域ではap-beijingAPID·125000000·下で:
{
  "version": "2.0",
  "statement": [
    {
      "action": [
        "name/cos:GetObjectACL"
      ],
      "effect": "allow",
      "resource": [
        "qcs::cos:ap-beijing:uid/1250000000:examplebucket-1250000000/doc/*"
      ]
    }
  ]
}

リクエスト前の原点横断構成

APIはOptionsオブジェクトです。この権限を付与するには、action保険書にはname/cos:OptionsObject.

実例

以下のポリシーは,パスプレフィックスを持つオブジェクトに対してのみオプション要求を送信する権限を与える.doc桶の中にexamplebucket-1250000000この地域ではap-beijingアプリの下で1250000000
{
  "version": "2.0",
  "statement": [
    {
      "action": [
        "name/cos:OptionsObject"
      ],
      "effect": "allow",
      "resource": [
        "qcs::cos:ap-beijing:uid/1250000000:examplebucket-1250000000/doc/*"
      ]
    }
  ]
}

保存対象を復元する

APIはPostオブジェクト還元。この権限を付与するには、action保険書にはname/cos:PostObjectRestore.

実例

以下のポリシーは、パスプレフィックス付きファイリングオブジェクトを復元する権限のみを付与するdoc桶の中にexamplebucket-1250000000この地域ではap-beijingアプリの下で1250000000
{
  "version": "2.0",
  "statement": [
    {
      "action": [
        "name/cos:PostObjectRestore"
      ],
      "effect": "allow",
      "resource": [
        "qcs::cos:ap-beijing:uid/1250000000:examplebucket-1250000000/doc/*"
      ]
    }
  ]
}

個々のオブジェクトを削除する

APIはDELETEオブジェクト。この権限を付与するには、action保険書にはname/cos:DeleteObject.

実例

以下のポリシーは,対象のみを削除する権限を与える.audio.mp3桶の中にexamplebucket-1250000000この地域ではap-beijingアプリの下で1250000000
{
  "version": "2.0",
  "statement": [
    {
      "action": [
        "name/cos:DeleteObject"
      ],
      "effect": "allow",
      "resource": [
        "qcs::cos:ap-beijing:uid/1250000000:examplebucket-1250000000/audio.mp3"
      ]
    }
  ]
}

複数のオブジェクトを削除する

APIは複数のオブジェクトを削除する。action保険書にはname/cos:DeleteObject.

実例

以下のポリシーは,対象のみを削除する権限を与える.audio.mp3video.mp4がちがちにたるexamplebucket-1250000000この地域ではap-beijingアプリの下で1250000000
{
  "version": "2.0",
  "statement": [
    {
      "action": [
        "name/cos:DeleteObject"
      ],
      "effect": "allow",
      "resource": [
        "qcs::cos:ap-beijing:uid/1250000000:examplebucket-1250000000/audio.mp3",
        "qcs::cos:ap-beijing:uid/1250000000:examplebucket-1250000000/video.mp4"
      ]
    }
  ]
}

よくあるシーンでの授権戦略

すべてのリソースへの読み書きアクセス権限を付与

以下の策略はすべての資源の完全な真実にアクセスする権限を与える:
{
  "version": "2.0",
  "statement": [
    {
      "action": [
        "*"
      ],
      "effect": "allow",
      "resource": [
        "*"
      ]
    }
  ]
}

すべての資源への読み込みのみアクセス権限を付与

以下の策略はすべての資源の本当のアクセス権限を与える:
{
  "version": "2.0",
  "statement": [
    {
      "action": [
        "name/cos:HeadObject",
        "name/cos:GetObject",
        "name/cos:ListObject",
        "name/cos:OptionsObject"
      ],
      "effect": "allow",
      "resource": [
        "*"
      ]
    }
  ]
}

指定された経路プレフィックスを使用して、リソースの読み書き・アクセス権限を付与する

以下のポリシーは、プレフィックスを有する経路下のファイルのみにアクセスする権限を付与するdoc桶の中にexamplebucket-1250000000また,他の経路中のファイルに対して動作を行うことは許されない.
{
  "version": "2.0",
  "statement": [
    {
      "action": [
        "*"
      ],
      "effect": "allow",
      "resource": [
        "qcs::cos:ap-shanghai:uid/1250000000:examplebucket-1250000000/doc/*"
      ]
    }
  ]
}

前の記事へ: サブアカウントへのCOSアクセス権限承認次の記事へ: 一時キーの生成と使用

ヘルプとサポート

この記事はお役に立ちましたか?

フィードバック