Alibaba Cloud Object Storage Service (OSS) のリソースは、デフォルトで非公開です。パートナーが編集のためにご利用の OSS リソースを使用できるようにするには、バケットポリシーを使用してバケットへのアクセス権を付与します。
背景情報
企業 A は、パートナーである企業 B が、編集用のメディアアセットとして OSS バケットに保存されているファイルを使用できるようにしたいと考えています。しかし、企業 A はバケットを公開読み取りに設定したり、ファイルを企業 B に直接コピーしたりすることは望んでいません。代わりに、企業 A はバケットポリシーを使用してパートナーにバケットへのアクセス権を付与し、企業 B がこれらのメディアアセットをタイムラインで参照できるようにします。
バケットポリシーを追加してアクセス権を付与
Intelligent Media Services (IMS) は、システムロールである AliyunICEDefaultRole を引き受けることで、お客様の OSS ファイルにアクセスします。企業 A が企業 B にバケットへのアクセス権限を付与すると、企業 B のアカウントが引き受けた AliyunICEDefaultRole が企業 A のバケットにアクセスできるようになります。以下の手順に従ってください:
-
企業 B の Alibaba Cloud アカウント ID を取得します。
企業 B は、自身の Alibaba Cloud アカウントにログインします。コンソールで、右上のプロフィール画像をクリックします。ポップアップボックスから Alibaba Cloud アカウント ID を見つけて記録します。
値は アカウント ID と表示されます。
-
企業 B のアカウントが引き受けた AliyunICEDefaultRole に、権限が付与されたリソースへのアクセスを許可します。
-
OSS コンソールにログインします。
-
[バケット] ページで、対象のバケット名をクリックします。
-
左側のナビゲーションウィンドウで、[権限管理] > [バケットポリシー] を選択します。
-
[バケットポリシー] ページで、[GUI で追加] タブをクリックし、[承認] をクリックします。
-
[承認] パネルでポリシーを設定します。[承認されたユーザー] で [他のアカウント] を選択し、次の ARN を入力します。プレースホルダーをステップ 1 で取得した Alibaba Cloud アカウント ID に置き換えます。
arn:sts::COMPANY_B_ACCOUNT_ID:assumed-role/AliyunICEDefaultRole/* -
他のパラメーターの設定に関する詳細については、「バケットポリシーを使用して特定のリソースへのアクセスを許可する」をご参照ください。
-
[OK] をクリックします。
例:
[承認されたリソース] エリアで [バケット全体] を選択します。[承認されたユーザー] エリアで [他のアカウント] を選択し、企業 B のアカウントが引き受けた
AliyunICEDefaultRoleの ARN (フォーマット:arn:sts::ACCOUNT_ID:assumed-role/AliyunICEDefaultRole/*) を入力します。[承認された操作] エリアで [簡易設定] を選択し、[読み取り/書き込み] を選択します。[条件 (オプション)] エリアで、アクセス方法を [HTTPS] に設定し、[OK] をクリックします。
-
高度な設定
-
複数アカウントへの権限付与:[承認されたユーザー] に複数の値を入力することで、このバケット内のメディアアセットに対する編集アクセス権を複数の Alibaba Cloud アカウントに付与できます。
-
操作権限:[承認された操作] が「読み取り専用」の場合、企業 B はバケットのメディアアセットを入力としてのみ使用できます。[承認された操作] が「読み取り/書き込み」の場合、企業 B は編集後の出力をバケットに書き込むこともできます。