ossbrowser を使用して、特定のリソースへのユーザーアクセスを管理できます。
シナリオ
会社の IT 管理者であり、従業員にバケットに対する異なるアクセス権限を付与する必要があるとします。 ossbrowser を使用して、その目的を達成できます。たとえば、従業員 A にバケット内のディレクトリへの一時的なアクセス権限を付与し、従業員 B にバケットまたはバケット内のディレクトリへの通常の読み取り専用または読み取り/書き込みアクセス権限を付与できます。
前提条件
データセキュリティのために、RAM ユーザーの AccessKey ペアを使用して ossbrowser にログインすることをお勧めします。 RAM ユーザーが作成され、バケットを管理する権限が付与され、AliyunRAMFullAccess ポリシーと AliyunSTSAssumeRoleAccess ポリシーがアタッチされます。詳細については、「RAM ユーザーを作成する」および「RAM ユーザーに権限を付与する」をご参照ください。
一時的な権限付与
一時的な権限付与を実装するには、AssumeRole 操作を呼び出して、一時的なアクセス認証情報(一時的な AccessKey ペアと認証トークン)を持つロールをアタッチし、トークンの有効期限が切れる前に、目的のユーザーに一時的なアクセス認証情報を提供して、指定されたリソースへのアクセス権限を付与する必要があります。トークンは、有効期限が切れると自動的に無効になります。
前述の RAM ユーザーの AccessKey ペアを使用して、ossbrowser にログインします。
バケットの名前をクリックします。
一時的なアクセス権限を付与するディレクトリを選択し、 を選択します。
重要認証トークンの生成は、ディレクトリに対してのみサポートされています。
権限、有効期間、およびロールを設定し、[生成] をクリックします。
説明ロールには、このディレクトリに対する少なくとも読み取り専用権限が必要です。
[コピー] をクリックして、認証トークンをコピーします。
一時的なアクセス権限を付与するユーザーに認証トークンを提供します。
長期的な権限付与
ossbrowser は、シンプルなポリシーに基づく長期的な権限付与をサポートしています。このポリシーは、RAM ユーザーに選択した権限に基づいて自動的に作成されます。権限付与が完了すると、RAM ユーザーは、バケットまたはバケット内の特定のディレクトリへの通常の読み取り専用または読み取り/書き込みアクセス権限を持ちます。
ossbrowser のシンプルなポリシー機能は、Alibaba Cloud Resource Access Management (RAM)に基づいてアクセス制御を実装します。 Alibaba Cloud Webサイトから RAM コンソールにログインして、RAM ユーザーを管理できます。
「前提条件」セクションで説明した RAM ユーザーとして ossbrowser にログインします。
バケットの名前をクリックします。
1 つ以上のオブジェクトまたはディレクトリを選択し、 を選択します。
ポリシー権限付与の簡素化 ダイアログボックスで、権限を設定します。
RAM ユーザーに権限を付与します。既存の RAM ユーザーを選択するか、新しい RAM ユーザーを作成できます。
説明[ポリシーの表示] をクリックして、生成されたポリシーテキストを表示し、必要な場所に貼り付けることができます。たとえば、ポリシーテキストをコピーし、OSS コンソール の該当するポリシーエディターに貼り付けることができます。
指定されたリソースへのアクセス権限が付与されている RAM ユーザーの AccessKey ペアを使用して ossbrowser にログインし、リソースを管理します。