このトピックでは、Security Token Service (STS) が提供する一時的なアクセス認証情報、または署名付き URL を使用して、Object Storage Service (OSS) リソースに一時的にアクセスする方法について説明します。
一時的なアクセス認証情報と署名付き URL には有効期間を指定する必要があります。一時的なアクセス認証情報を使用して、オブジェクトのアップロードやダウンロードなどの操作を実行するために使用される署名付き URL を生成する場合、最小の有効期間が優先されます。たとえば、一時的なアクセス認証情報の有効期間を 1,200 秒に設定し、その認証情報を使用して生成された署名付き URL の有効期間を 3,600 秒に設定できます。この場合、署名付き URL が有効期間内であっても、一時的なアクセス認証情報の有効期限が切れた後は、署名付き URL を使用してオブジェクトをアップロードすることはできません。
使用上の注意
このトピックでは、中国 (杭州) リージョンのパブリックエンドポイントが使用されています。OSS と同じリージョン内の他の Alibaba Cloud サービスから OSS にアクセスする場合は、内部エンドポイントを使用します。OSS のリージョンとエンドポイントの詳細については、「リージョンとエンドポイント」をご参照ください。
このトピックでは、OSS エンドポイントを使用して OSSClient インスタンスが作成されます。カスタムドメイン名または Security Token Service (STS) を使用して OSSClient を作成する場合は、「OSSClient インスタンスを作成する」をご参照ください。
STS を使用して一時的なアクセスを承認する
STS を使用して、OSS への一時的なアクセスを承認できます。STS は、ユーザーに一時的なアクセストークンを提供する Web サービスです。STS を使用すると、カスタムの有効期間とカスタムの権限を持つ一時的なアクセス認証情報を、サードパーティアプリケーションまたは管理対象の RAM ユーザーに付与できます。STS の詳細については、「STS とは」をご参照ください。
STS には次の利点があります。
セキュリティトークンを生成し、アクセスセキュリティトークンをサードパーティアプリケーションに送信するだけで済みます。AccessKey ペアをサードパーティアプリケーションに提供する必要はありません。このセキュリティトークンのアクセス権限と有効期間を指定できます。
セキュリティトークンは、有効期限が切れると自動的に期限切れになります。したがって、セキュリティトークンのアクセス権限を手動で取り消す必要はありません。
STS が提供する一時的なアクセス認証情報を使用して OSS にアクセスするには、次の操作を実行します。
一時的なアクセス認証情報を取得します。
一時的なアクセス認証情報には、セキュリティトークンと一時的な AccessKey ペアが含まれています。AccessKey ペアは、AccessKey ID と AccessKey シークレットで構成されます。一時的なアクセス認証情報の有効期間は秒単位です。一時的なアクセス認証情報の最小有効期間は 900 秒です。一時的なアクセス認証情報の最大有効期間は、現在のロールに指定された最大セッション期間です。詳細については、「RAM ロールの最大セッション期間を指定する」をご参照ください。
次のいずれかの方法を使用して、一時的なアクセス認証情報を取得できます。
方法 1
AssumeRole 操作を呼び出します。
方法 2
STS SDK を使用して、一時的なアクセス認証情報を取得します。詳細については、「STS SDK の概要」をご参照ください。
STS から取得した一時的なアクセス認証情報を使用して、署名付きリクエストを作成します。
#include <alibabacloud/oss/OssClient.h> using namespace AlibabaCloud::OSS; int main(void) { /* OSS にアクセスするために使用するアカウントの情報を初期化します。*/ /* バケットが配置されているリージョンのエンドポイントを指定します。たとえば、バケットが中国 (杭州) リージョンにある場合は、エンドポイントを https://oss-cn-hangzhou.aliyuncs.com に設定します。*/ std::string Endpoint = "yourEndpoint"; /* バケットが配置されているリージョンを指定します。たとえば、バケットが中国 (杭州) リージョンにある場合は、リージョンを cn-hangzhou に設定します。*/ std::string Region = "yourRegion"; /* ネットワークリソースなどのリソースを初期化します。*/ InitializeSdk(); ClientConfiguration conf; conf.signatureVersion = SignatureVersionType::V4; /* 環境変数からアクセス認証情報を取得します。サンプルコードを実行する前に、OSS_ACCESS_KEY_ID、OSS_ACCESS_KEY_SECRET、および OSS_SESSION_TOKEN 環境変数が構成されていることを確認してください。*/ auto credentialsProvider = std::make_shared<EnvironmentVariableCredentialsProvider>(); OssClient client(Endpoint, credentialsProvider, conf); client.SetRegion(Region); /* ネットワークリソースなどのリソースを解放します。*/ ShutdownSdk(); return 0; }
署名付き URL を使用して一時的なアクセスを承認する
使用上の注意
OSS SDK を使用して署名付き URL を生成する場合、OSS SDK はローカルコンピューターに保存されているキー情報に基づいて特定のアルゴリズムを使用して署名を計算し、その署名を URL に追加して、URL の有効性とセキュリティを確保します。URL を計算および構築するための操作は、クライアント側で完了します。ネットワーク経由でサーバーにリクエストを送信する必要はありません。このようにして、署名付き URL を生成するときに、呼び出し元に特定の権限を付与する必要はありません。ただし、サードパーティユーザーが署名付き URL によって承認されたリソースに対して関連操作を実行できるようにするには、署名付き URL を生成するための API 操作を呼び出すプリンシパルが対応する権限を持っていることを確認する必要があります。
たとえば、プリンシパルが署名付き URL を使用してオブジェクトをアップロードする場合、プリンシパルに oss:PutObject 権限を付与する必要があります。プリンシパルが署名付き URL を使用してオブジェクトをダウンロードまたはプレビューする場合、プリンシパルに oss:GetObject 権限を付与する必要があります。
署名付き URL を生成し、ビジターに一時的なアクセスを提供するために URL を提供できます。署名付き URL を生成するときに、URL の有効期間を指定して、ビジターが特定のデータにアクセスできる期間を制限できます。
HTTPS 経由でリソースにアクセスするために使用される署名付き URL を生成するには、エンドポイントのプロトコルを HTTPS に設定します。
次のサンプルコードを使用して生成された署名付き URL には、プラス記号 (
+) が含まれる場合があります。この場合、URL 内のプラス記号 (+) を%2Bに置き換えます。そうしないと、署名付き URL を使用してオブジェクトにアクセスできない場合があります。