ossbrowser を使用すると、バケット内の特定のリソースへのアクセスをユーザーに付与するための簡易的な権限管理が行えます。
利用シーン
複数の従業員がバケット内のリソースにアクセスする必要がある場合、ossbrowser を使ってそれぞれに異なる権限を付与できます。たとえば、ある従業員にはバケット内の特定のディレクトリへの一時的なアクセス権限を付与し、別の従業員にはバケット全体または特定のディレクトリに対する長期的な読み取り専用または読み書き権限を付与できます。
前提条件
データセキュリティの観点から、ossbrowser へのログインには RAM ユーザー(例:RAM ユーザー A)の AccessKey ペアを使用してください。この RAM ユーザーはバケットの管理権限を持ち、かつ Resource Access Management の管理に必要な AliyunRAMFullAccess ポリシーおよび STS の AssumeRole API オペレーションの呼び出しに必要な AliyunSTSAssumeRoleAccess ポリシーが付与されている必要があります。これらのポリシーは、一時的な権限付与および簡易ポリシーによる権限付与に必須です。詳細については、「RAM ユーザーの作成」および「RAM ユーザーへの権限付与」をご参照ください。
一時的な権限付与
一時的な権限付与では、AssumeRole API オペレーションを呼び出して一時的な認証トークンを生成します。このトークンを他のユーザーに提供することで、そのユーザーは RAM ロールを偽装してご利用のバケット内の特定のディレクトリに一時的にアクセスできるようになります。トークンは指定された期間後に自動的に有効期限切れとなります。
-
RAM ユーザー A の AccessKey ペアを使用して ossbrowser にログインします。
詳細については、「AccessKey ペアの作成」および「ossbrowser 1.0 へのログイン」をご参照ください。
-
対象のバケット名をクリックします。
-
権限を付与するディレクトリのチェックボックスを選択し、 の順に選択します。
重要認証トークンはディレクトリに対してのみ生成できます。

-
権限、有効期間、RAM ロールを設定し、[生成] をクリックします。
説明RAM ロールには、該当ディレクトリに対する少なくとも読み取り専用権限が必要です。
-
[コピー] をクリックして、生成された認証トークンをコピーします。
-
認証トークンを他のユーザーに提供し、ご利用のバケット内のディレクトリに一時的にアクセスできるようにします。
説明これらのユーザーは認証トークンを使用して ossbrowser にログインできます。詳細については、「ossbrowser 1.0 へのログイン」をご参照ください。
長期的な権限付与
ossbrowser は、簡易ポリシーによる権限付与機能を通じて長期的な権限付与をサポートしています。この機能では、選択した権限に基づいて自動的にポリシーが生成され、RAM ユーザーにアタッチされます。権限付与後、該当の RAM ユーザーは特定のバケットまたはディレクトリに対して長期的な読み取り専用または読み書き権限を持つようになります。
ossbrowser の簡易ポリシーによる権限付与機能は、Alibaba Cloud Resource Access Management (RAM) を基盤としています。より詳細な制御が必要な場合は、RAM コンソールで直接 RAM ユーザーを管理することもできます。
-
RAM ユーザー A として ossbrowser にログインします。
-
対象のバケット名をクリックします。
-
権限を付与するファイルまたはディレクトリを 1 つ以上選択し、 の順に選択します。
-
[ポリシー承認の簡略化] ページで、必要な権限を選択します。
-
既存の RAM ユーザー(例:RAM ユーザー B)に権限を付与するか、新しい RAM ユーザーを作成します。
説明[ポリシーの表示] をクリックすると、生成されたポリシーテキストを確認し、他の場所で使用するためにコピーできます。たとえば、ポリシーテキストを RAM コンソールに貼り付けて、RAM ユーザーや RAM ロールの権限付与ポリシーを編集できます。
-
RAM ユーザー B は、自身の AccessKey ペアを使用して ossbrowser にログインし、権限が付与されたリソースを管理できるようになります。