ossbrowser 2.0 へのログイン - Object Storage Service - Alibaba Cloud ドキュメントセンター

このトピックでは、ossbrowser 2.0 のログインオプションと、その設定項目について説明します。

ログインアカウントの権限設定

ログインする前に、アカウントに ossbrowser 2.0 での操作に必要な権限があることを確認してください。

Alibaba Cloud アカウント: デフォルトでは、Alibaba Cloud アカウントは、そのアカウント配下にあるすべてのリソースに対する完全な権限を持っています。追加の権限を設定する必要はありません。
Resource Access Management (RAM) ユーザー: ログインしてすべてのバケットとファイルリストを表示するには、RAM ユーザーはすべてのバケットに対して、少なくとも oss:ListBuckets、oss:ListObjects、および oss:GetBucketInfo 権限を持っている必要があります。
セキュリティトークンサービス (STS) の一時的なアクセス資格情報: 特定のバケットにログインしてファイルリストを表示するには、STS の一時的なアクセス資格情報に、そのバケットに対する少なくとも oss:ListObjects と oss:GetBucketInfo 権限が必要です。
認証コード: 認証コードの権限は、Alibaba Cloud アカウントのオーナーまたは RAM 管理者によって設定されます。彼らは ossbrowser 2.0 にログインし、ファイル権限付与操作を実行します。

RAM ユーザーまたは STS の一時的なアクセス資格情報を使用して ossbrowser 2.0 にログインした後、操作を実行するには、対応するアクセスポリシーも設定する必要があります。次の表の操作の機能分類に基づいて権限を設定できます。カスタムポリシーの作成と RAM ユーザーへの権限付与の詳細については、「カスタムポリシーの作成」および「RAM ユーザーへの権限付与」をご参照ください。

ossbrowser 2.0 の各機能モジュールで必要な権限

機能モジュール	アクション	説明	権限設定の提案
ossbrowser 2.0 へのログイン	oss:ListBuckets	所有するすべてのバケットをリスト表示します。	特定のバケットにのみアクセスする必要がある場合、`oss:ListBuckets` 権限は不要です。ただし、バケットリストは表示できません。
	oss:ListObjects	バケット内のすべてのオブジェクトに関する情報をリスト表示します。	ファイルリストを表示するには、`oss:ListObjects` 権限を設定する必要があります。
	oss:GetBucketInfo	バケットに関する情報を表示します。	事前設定されたパスを使用して特定のバケットにアクセスするには、`oss:GetBucketInfo` 権限を設定する必要があります。この権限がない場合でも、バケットが配置されているリージョンを手動で指定してアクセスすることもできます。
バケットの管理	oss:ListBuckets	所有するすべてのバケットをリスト表示します。	バケットリストを表示するには、`oss:ListBuckets` 権限を設定する必要があります。
	oss:PutBucket	バケットを作成します。	バケットを作成するには、`oss:PutBucket` 権限を設定する必要があります。
	oss:GetBucketInfo	バケットに関する情報を表示します。	バケットに関する基本情報を取得するには、`oss:GetBucketInfo` 権限を設定する必要があります。
	oss:DeleteBucket	バケットを削除します。	バケットを削除するには、`oss:DeleteBucket` 権限を慎重に設定してください。
ファイルリスト	oss:ListObjects	バケット内のすべてのオブジェクトに関する情報をリスト表示します。	ファイルをリスト表示するには、`oss:ListObjects` 権限を設定する必要があります。
アップロードとダウンロード	oss:ListObjects	バケット内のすべてのオブジェクトに関する情報をリスト表示します。	フォルダをダウンロードするには、`oss:ListObjects` 権限を設定する必要があります。
	oss:GetObject	オブジェクトを取得します。	ファイルをダウンロードするには、`oss:GetObject` 権限を設定する必要があります。
	oss:PutObject	ファイルをアップロードします。	ファイルをアップロードするには、`oss:PutObject` 権限を設定する必要があります。
コピー、移動、名前の変更	oss:ListBuckets	所有するすべてのバケットをリスト表示します。	バケット間でオブジェクトをコピーおよび移動する場合は、`oss:ListBuckets` 権限を設定する必要があります。
	oss:ListObjects	バケット内のすべてのオブジェクトに関する情報をリスト表示します。	フォルダのコピー、移動、名前の変更を行う場合は、`oss:ListObjects` 権限を設定する必要があります。
	oss:GetObject	オブジェクトを取得します。	ソースバケットに対する `oss:GetObject` 権限が必要です。
	oss:PutObject	ファイルをアップロードします。	宛先バケットに対する `oss:PutObject` 権限が必要です。
	oss:DeleteObject	オブジェクトを削除します。	オブジェクトを移動したり名前を変更したりする場合、ソースバケットに対する `oss:DeleteObject` 権限が必要です。そうでない場合、ソースファイルは削除できません。
	oss:GetBucketInfo	バケットに関する情報を表示します。	OSS `Bucket` でバージョン管理が有効になった後、同じ名前のファイルは上書きしかできません。ossbrowser 2.0 は `GetBucketInfo` を呼び出してバケットのバージョン管理ステータスをクエリします。ただし、この権限は必須ではありません。この権限がない場合は、エラーが報告されます。ポップアップウィンドウを閉じることができます。バケットでバージョン管理が有効になっている場合、同じ名前のファイルに対して [スキップ] または [確認] ポリシーを選択しても効果がなく、ファイルは上書きされるだけです。
ファイルの削除	oss:ListObjects	バケット内のすべてのオブジェクトに関する情報をリスト表示します。	フォルダを削除するには、`oss:ListObjects` 権限を設定する必要があります。
ファイルの削除	oss:DeleteObject	オブジェクトを削除します。	ファイルを削除するには、`oss:DeleteObject` 権限を慎重に設定してください。
フラグメント管理	oss:ListParts	指定された Upload ID に対して正常にアップロードされたすべてのパートをリスト表示します。	ファイルフラグメントを表示するには、`oss:ListParts` 権限を設定する必要があります。
フラグメント管理	oss:ListMultipartUploads	進行中のすべてのマルチパートアップロードイベントをリスト表示します。これらは、開始されたがまだ完了 (Complete) または中止 (Abort) されていないイベントです。	ファイルフラグメントを削除するには、`oss:ListMultipartUploads` 権限を設定する必要があります。
ファイルの復元	oss:RestoreObject	アーカイブストレージ、コールドアーカイブ、またはディープコールドアーカイブストレージクラスのオブジェクトを復元します。	ファイルを復元するには、`oss:RestoreObject` 権限を設定する必要があります。

手順

ログイン方法の選択

ossbrowser 2.0 は、次の表で説明するように 4 つのログイン方法を提供します。

ログイン方法	説明
[AK でログイン]	リソースのオーナーである場合、またはチームメンバーが長期間 OSS リソースを管理する必要があり、永続的なログインが必要な場合は、Alibaba Cloud アカウントまたは RAM ユーザーの AccessKey (AK) 情報を使用して ossbrowser 2.0 にログインします。
[アカウントでログイン]	リソースのオーナーである場合、またはチームメンバーが長期間 OSS リソースを管理する必要があり、ログインに毎日のセキュリティ検証が必要な場合は、Alibaba Cloud アプリ、Alipay、または DingTalk を使用して QR コードをスキャンするか、Alibaba Cloud アカウント、RAM ユーザーアカウント、または携帯電話の認証コードでログインします。重要アカウントログイン方法は、ファイル権限付与操作をサポートしていません。この操作を実行するには、別のログイン方法を使用してください。
STS でログイン	チームメンバーが一時的に OSS リソースを管理する必要がある場合、RAM ユーザーに RAM ロールを偽装させて STS サービスを呼び出し、STS の一時的なアクセス資格情報を取得できます。その後、他のチームメンバーはこの一時的な資格情報を使用してログインし、OSS リソースを管理できます。
[認証コードでログイン]	チームメンバーが一時的または永続的に一部の OSS リソースを管理する必要がある場合、AccessKey ペアで ossbrowser 2.0 にログインし、OSS リソースを承認して認証コードを生成できます。その後、他のチームメンバーはこの認証コードを使用してログインし、承認した OSS リソースを管理できます。

シナリオに基づいてログイン方法を選択します。

[AK でログイン]

[AK でログイン] メソッドでは、Alibaba Cloud アカウントまたは RAM ユーザーの AccessKey 情報を使用してログインできます。セキュリティを向上させるために、RAM ユーザーの AccessKey 情報を使用してログインしてください。

Alibaba Cloud アカウントでログイン

AccessKey 情報を取得します。
1. ローカルコンピューターから AccessKey ペアを取得する: AccessKey ペアを作成したときにローカルに保存した AccessKey ID と AccessKey Secret を使用します。
2. AccessKey ペアの作成: AccessKey の作成ページに移動します。[AccessKey の作成] をクリックし、画面の指示に従って AccessKey ペアを作成します。AccessKey ペアが作成されたら、ポップアップダイアログボックスで [CSV ファイルのダウンロード] をクリックして、AccessKey ペアをローカルマシンに保存します。その後、新しい AccessKey ID と AccessKey Secret を使用してログインします。
[AK でログイン] をクリックします。AccessKey ID と AccessKey Secret を入力してログインします。

RAM ユーザーでログイン: RAM ユーザーを作成してログインする

RAM ユーザーを作成するには、Alibaba Cloud アカウントなど、RAM ユーザーを管理する権限を持つアカウントを使用する必要があります。Alibaba Cloud コンソールにログインし、次の手順を実行します。

RAM ユーザーを作成します。
1. ユーザーの作成をクリックし、コンソールの指示に従って RAM ユーザーを作成します。
  説明
  RAM ユーザーの作成方法の詳細については、「RAM ユーザーの作成」をご参照ください。
2. [CSV ファイルのダウンロード] をクリックします。このファイルには、RAM ユーザーがログインに使用できる AccessKey 情報が含まれています。安全に保存してください。
RAM ユーザーに権限を付与します。
1. ユーザーページで、対象のユーザーを見つけ、[権限管理] > [権限の追加] をクリックします。
2. [検索ボックス] で、ossbrowser 2.0 の操作権限、AliyunRAMFullAccess、および AliyunSTSAssumeRoleAccess 権限を検索して追加します。
  説明
  RAM ユーザーへの権限付与とカスタムポリシーの作成方法の詳細については、「RAM ユーザーへの権限付与」および「カスタムポリシーの作成」をご参照ください。
[AK でログイン] をクリックします。CSV ファイルから AccessKey ID と AccessKey Secret を入力します。

RAM ユーザーでログイン: 既存の RAM ユーザーでログインする

AccessKey 情報を取得します。
1. ローカルコンピューターから AccessKey ペアを取得する: AccessKey ペアを作成したときにローカルに保存した AccessKey ID と AccessKey Secret を使用します。
2. AccessKey ペアの作成: AccessKey ペアを忘れた場合は、対象の RAM ユーザーアカウントを使用して Alibaba Cloud コンソールにログインします。ユーザーページに移動し、対象の RAM ユーザーをクリックします。ユーザー詳細ページで、[AccessKey の作成] をクリックし、画面の指示に従って AccessKey ペアを作成します。AccessKey ペアが作成されたら、表示されるダイアログボックスで [CSV ファイルのダウンロード] をクリックして、AccessKey ペアをローカルマシンに保存します。その後、新しい AccessKey ID と AccessKey Secret を使用してログインします。
OSS 権限付与の確認
1. ユーザーページに移動します。対象のユーザーを選択し、[権限管理] をクリックして、ユーザーが Object Storage Service (OSS) リソースを管理する権限を持っているかどうかを確認します。たとえば、AliyunOSSFullAccess 権限は OSS へのフルアクセスを許可します。
2. ユーザーが OSS リソースを管理する権限を持っていない場合は、そのユーザーの [権限管理] ページに移動し、[権限の追加] をクリックします。[検索ボックス] で、AliyunOSSFullAccess、AliyunRAMFullAccess、および AliyunSTSAssumeRoleAccess 権限を検索して追加します。
  説明
  RAM ユーザーへの権限付与とカスタムポリシーの作成方法の詳細については、「RAM ユーザーへの権限付与」および「カスタムポリシーの作成」をご参照ください。
[AK でログイン] をクリックします。RAM ユーザーの AccessKey ID と AccessKey Secret を入力します。

アカウントでログイン

[アカウントでログイン] ボタンをクリックします。
[Alibaba Cloud ログインページ] に移動します。全画面モードに切り替えます。右上隅で、国際サイト (alibabacloud.com) に切り替えてログイン方法を選択します。

STS でログイン

重要

[STS トークン] テキストボックスは、[AccessKeyID] テキストボックスの値が STS.***** フォーマットと一致する場合にのみ表示されます。

STS の一時的なアクセス資格情報を取得します。詳細については、「STS の一時的なアクセス資格情報を使用して OSS にアクセスする」をご参照ください。
[AK でログイン] をクリックします。一時的なアクセス資格情報から AccessKey ID、AccessKey Secret、および SecurityToken を入力します。

認証コードでログイン

認証コードを取得します。詳細については、「ファイル権限付与」をご参照ください。
[認証コードでログイン] をクリックし、認証コードを入力します。

[エンドポイント] の設定

重要

CDN ドメイン名を使用して ossbrowser 2.0 にログインすることはできません。

エンドポイント	説明
パブリックエンドポイント	これは、ローカルマシンで ossbrowser 2.0 を使用するシナリオに適用されます。この場合、[パブリックエンドポイント] を選択します。
同一リージョン内の内部エンドポイント	これは、Alibaba Cloud の内部ネットワーク環境で使用されます。たとえば、ossbrowser 2.0 が ECS 仮想マシンにインストールされている場合などです。この場合、[同一リージョン内の内部エンドポイント] を選択します。ECS 仮想マシンと宛先バケットは同じリージョンにある必要があります。ECS 仮想マシンの作成方法の詳細については、「ECS インスタンスの作成」をご参照ください。
指定されたドメイン名	説明指定されたドメイン名を使用して ossbrowser クライアントにログインした後は、他のバケットに切り替えることはできません。これは、指定されたドメイン名でログインするシナリオに適用されます。たとえば、転送アクセラレーションサービスを有効にした後、[転送アクセラレーションエンドポイント] を入力できます。転送アクセラレーションサービスを有効にして転送アクセラレーションエンドポイントを取得する方法の詳細については、「転送アクセラレーションを有効にする」をご参照ください。
カスタムドメイン名	これは、カスタムドメイン名を通じて OSS リソースにアクセスするシナリオに適用されます。OSS にアタッチされているカスタムドメイン名を入力する必要があります。カスタムドメイン名をアタッチする方法の詳細については、「カスタムドメイン名をアタッチする」をご参照ください。
PrivateLink	説明 PrivateLink を使用して ossbrowser クライアントにログインする場合、事前にプリセット OSS パスで宛先バケットを指定する必要があります。クライアントの実行中は、他のバケットに切り替えることはできません。これは、Alibaba Cloud の内部ネットワーク環境で使用されます。たとえば、ターゲットの ECS 仮想マシンがあり、より安全で安定したプライベート接続を確立する必要がある場合などです。ECS 仮想マシンとエンドポイントが同じ VPC にあり、ECS 仮想マシンと宛先バケットが同じリージョンにあることを確認してください。 [エンドポイントサービスドメイン名] を入力します。ECS 仮想マシンの作成、エンドポイントの作成、およびエンドポイントサービスドメイン名の取得方法の詳細については、「ECS インスタンスの作成」および「エンドポイントの作成」をご参照ください。
CloudBox	説明 CloudBox エンドポイントを使用して ossbrowser 2.0 にログインした後、ファイル権限付与操作はサポートされません。これは、CloudBox 環境にアクセスするシナリオに適用されます。ossbrowser 2.0 にログインするには、CloudBox のデータエンドポイントを入力する必要があります。

プリセット OSS パスの設定
バケット内の一部のリソースに対する権限しかない場合は、OSS リソースパスを指定する必要があります。例は次のとおりです。
1. バケット全体にアクセスします。たとえば、bucketname 内のすべてのファイルにアクセスします。
2. バケット内の特定のフォルダにアクセスします。たとえば、bucketname 内の folder ディレクトリにアクセスします。
3. バケット内の特定のファイルにアクセスします。たとえば、bucketname の folder ディレクトリ内の file ファイルにアクセスします。

[バケットリージョン] の設定

重要

特定のバケットにアクセスするには、まずプリセット OSS パスを設定し、次にバケットリージョンを設定します。

エンドポイントタイプ	設定方法	例
[パブリックエンドポイント]	ログインページの右上隅で、[詳細設定] > [デフォルトリージョン] をクリックし、宛先バケットのリージョンを選択します。
[同一リージョン内の内部エンドポイント]
[指定されたドメイン名]	展開された [デフォルトリージョン] ドロップダウンリストで、宛先バケットのリージョンを選択します。
[カスタムドメイン名]
[PrivateLink]

結果の確認
ログイン後、インターフェイスは次の図のように表示されます。ossbrowser 2.0 にすばやく慣れて使用するには、「一般的な操作」をご参照ください。

その他の設定

パラメーター	説明
[リクエスト元支払いモード]	アクセスを許可されたバケットでリクエスト元支払いモードが有効になっており、かつあなたがバケットのオーナーでない場合は、[リクエスト元支払いモード] を選択します。ログインページの右上隅で、[詳細設定] をクリックします。詳細設定ページで、[リクエスト元支払いモード] を有効にします。重要アクセスを許可されたバケットでリクエスト元支払いモードが有効になっていても、あなたがバケットのオーナーではなく、[リクエスト元支払いモード] を選択していない場合、プリセット OSS パスで指定されたリソースにアクセスしようとすると `AccessDenied` エラーが報告されます。 [リクエスト元支払いモード] を選択すると、プリセット OSS パスで指定されたリソースにアクセスできます。バケットへのアクセスによって発生したトラフィック、リクエスト、その他の料金が課金されます。リクエスト元支払いモードの詳細については、「リクエスト元による支払い」をご参照ください。
[ログイン状態を維持]	[ログイン状態を維持] を選択すると、ossbrowser 2.0 はログイン状態を維持します。次回開いたときに、自動的にログインします。
[セッションの保存]	[セッションの保存] を選択すると、AccessKey ペアが保存されます。次回ログインするときに、[AK 履歴] をクリックして保存されたキーを選択すると、直接ログインできます。警告不要なセキュリティリスクを避けるため、一時的に使用しているコンピューターではこのオプションを選択しないでください。