バケットポリシーを使用すると、匿名ユーザーまたは Alibaba Cloud アカウント、RAM ユーザー、RAM ロールなどの特定されたユーザーによる特定の Object Storage Service (OSS) リソースへのアクセスを許可または制限できます。たとえば、別の Alibaba Cloud アカウントの RAM ユーザーに、特定の OSS リソースに対する読み取り専用権限を付与できます。
使用上の注意
バケットポリシーを設定する前に、この機能をよく理解しておいてください。詳細については、「バケットポリシー」をご参照ください。
このトピックのサンプルコードでは、中国 (杭州) リージョンのリージョン ID として
cn-hangzhouを使用しています。デフォルトでは、バケット内のリソースへのアクセスにはパブリックエンドポイントが使用されます。バケットが配置されている同じリージョン内の他の Alibaba Cloud サービスを使用してバケット内のリソースにアクセスする場合は、内部エンドポイントを使用する必要があります。OSS リージョンとエンドポイント間のマッピングの詳細については、「リージョンとエンドポイント」をご参照ください。バケットポリシーを設定するには、
oss:PutBucketPolicy権限が必要です。バケットポリシーを取得するには、oss:GetBucketPolicy権限が必要です。バケットポリシーを削除するには、oss:DeleteBucketPolicy権限が必要です。詳細については、「RAM ユーザーへのカスタムポリシーのアタッチ」をご参照ください。
例
バケットポリシーの設定
次のサンプルコードは、バケットポリシーを設定する方法の例を示しています。
<?php
// 依存ライブラリを読み込むために、autoload ファイルを導入します。
require_once __DIR__ . '/../vendor/autoload.php';
use AlibabaCloud\Oss\V2 as Oss;
// コマンドラインパラメータを指定します。
$optsdesc = [
"region" => ['help' => 'バケットが配置されているリージョン。', 'required' => True], // (必須) バケットが配置されているリージョンを指定します。
"endpoint" => ['help' => '他のサービスが OSS にアクセスするために使用できるドメイン名', 'required' => False], // (オプション) 他のサービスが OSS にアクセスするために使用できるエンドポイントを指定します。
"bucket" => ['help' => 'バケットの名前', 'required' => True], // (必須) バケットの名前を指定します。
];
// コマンドラインパラメータを解析するための長いオプションリストを生成します。
$longopts = \array_map(function ($key) {
return "$key:"; // 各パラメータの末尾にコロン (:) を追加して、値が必要であることを示します。
}, array_keys($optsdesc));
// コマンドラインパラメータを解析します。
$options = getopt("", $longopts);
// 必須パラメータが設定されているかどうかを確認します。
foreach ($optsdesc as $key => $value) {
if ($value['required'] === True && empty($options[$key])) {
$help = $value['help'];
echo "Error: the following arguments are required: --$key, $help"; // 必須パラメータが設定されていないことを指定します。
exit(1);
}
}
// コマンドラインパラメータの値を取得します。
$region = $options["region"]; // バケットが配置されているリージョン。
$bucket = $options["bucket"]; // バケットの名前。
// 環境変数を使用して AccessKey ID と AccessKey シークレットを読み込みます。
$credentialsProvider = new Oss\Credentials\EnvironmentVariableCredentialsProvider();
// SDK のデフォルト設定を使用します。
$cfg = Oss\Config::loadDefault();
// 認証プロバイダーを指定します。
$cfg->setCredentialsProvider($credentialsProvider);
// リージョンを指定します。
$cfg->setRegion($region);
// エンドポイントが提供されている場合は、エンドポイントを指定します。
if (isset($options["endpoint"])) {
$cfg->setEndpoint($options["endpoint"]);
}
// OSSClient インスタンスを作成します。
$client = new Oss\Client($cfg);
// バケットポリシーのフォーマットを JSON に設定します。
$policy = '{
"Version":"1",
"Statement":[
{
"Action":[
"oss:PutObject",
"oss:GetObject"
],
"Effect":"Deny",
"Principal":["1234567890"],
"Resource":["acs:oss:*:1234567890:*/*"]
}
]
}';
// バケットポリシーを設定するためのリクエストを作成し、バケットポリシーを渡します。
$request = new Oss\Models\PutBucketPolicyRequest(bucket: $bucket, policy: $policy);
// putBucketPolicy メソッドを使用してバケットポリシーを指定します。
$result = $client->putBucketPolicy($request);
// 返された結果を表示します。
printf(
'status code:' . $result->statusCode . PHP_EOL . // HTTP 応答ステータスコード。
'request id:' . $result-> requestId. PHP_EOL // リクエストの一意の識別子。
);
バケットポリシーの照会
次のサンプルコードは、バケットポリシーを照会する方法の例を示しています。
<?php
// 依存ライブラリを読み込むために、autoload ファイルを導入します。
require_once __DIR__ . '/../vendor/autoload.php';
use AlibabaCloud\Oss\V2 as Oss;
// コマンドラインパラメータを指定します。
$optsdesc = [
"region" => ['help' => 'バケットが配置されているリージョン。', 'required' => True], // (必須) バケットが配置されているリージョンを指定します。
"endpoint" => ['help' => '他のサービスが OSS にアクセスするために使用できるドメイン名', 'required' => False], // (オプション) 他のサービスが OSS にアクセスするために使用できるエンドポイントを指定します。
"bucket" => ['help' => 'バケットの名前', 'required' => True], // (必須) バケットの名前を指定します。
];
// コマンドラインパラメータを解析するための長いオプションリストを生成します。
$longopts = \array_map(function ($key) {
return "$key:"; // 各パラメータの末尾にコロン (:) を追加して、値が必要であることを示します。
}, array_keys($optsdesc));
// コマンドラインパラメータを解析します。
$options = getopt("", $longopts);
// 必須パラメータが設定されているかどうかを確認します。
foreach ($optsdesc as $key => $value) {
if ($value['required'] === True && empty($options[$key])) {
$help = $value['help'];
echo "Error: the following arguments are required: --$key, $help"; // 必須パラメータが設定されていないことを指定します。
exit(1);
}
}
// コマンドラインパラメータの値を取得します。
$region = $options["region"]; // バケットが配置されているリージョン。
$bucket = $options["bucket"]; // バケットの名前。
// 環境変数を使用して AccessKey ID と AccessKey シークレットを読み込みます。
$credentialsProvider = new Oss\Credentials\EnvironmentVariableCredentialsProvider();
// SDK のデフォルト設定を使用します。
$cfg = Oss\Config::loadDefault();
// 認証プロバイダーを指定します。
$cfg->setCredentialsProvider($credentialsProvider);
// リージョンを指定します。
$cfg->setRegion($region);
// エンドポイントが提供されている場合は、エンドポイントを指定します。
if (isset($options["endpoint"])) {
$cfg->setEndpoint($options["endpoint"]);
}
// OSSClient インスタンスを作成します。
$client = new Oss\Client($cfg);
// バケットポリシーを照会するためのリクエストを作成します。
$request = new Oss\Models\GetBucketPolicyRequest(bucket: $bucket);
// getBucketPolicy メソッドを使用してバケットポリシーを照会します。
$result = $client->getBucketPolicy($request);
// 返された結果を表示します。
printf(
'status code:' . $result->statusCode . PHP_EOL . // HTTP 応答ステータスコード。
'request id:' . $result->requestId . PHP_EOL . // リクエストの一意の識別子。
'policy:' . $result->body // バケットポリシーの内容。
);
バケットポリシーの削除
次のサンプルコードは、バケットポリシーを削除する方法の例を示しています。
<?php
// 依存ライブラリを読み込むために、autoload ファイルを導入します。
require_once __DIR__ . '/../vendor/autoload.php';
use AlibabaCloud\Oss\V2 as Oss;
// コマンドラインパラメータを指定します。
$optsdesc = [
"region" => ['help' => 'バケットが配置されているリージョン。', 'required' => True], // (必須) バケットが配置されているリージョンを指定します。
"endpoint" => ['help' => '他のサービスが OSS にアクセスするために使用できるドメイン名', 'required' => False], // (オプション) 他のサービスが OSS にアクセスするために使用できるエンドポイントを指定します。
"bucket" => ['help' => 'バケットの名前', 'required' => True], // (必須) バケットの名前を指定します。
];
// コマンドラインパラメータを解析するための長いオプションリストを生成します。
$longopts = \array_map(function ($key) {
return "$key:"; // 各パラメータの末尾にコロン (:) を追加して、値が必要であることを示します。
}, array_keys($optsdesc));
// コマンドラインパラメータを解析します。
$options = getopt("", $longopts);
// 必須パラメータが設定されているかどうかを確認します。
foreach ($optsdesc as $key => $value) {
if ($value['required'] === True && empty($options[$key])) {
$help = $value['help'];
echo "Error: the following arguments are required: --$key, $help"; // 必須パラメータが設定されていないことを指定します。
exit(1);
}
}
// コマンドラインパラメータの値を取得します。
$region = $options["region"]; // バケットが配置されているリージョン。
$bucket = $options["bucket"]; // バケットの名前。
// 環境変数を使用して AccessKey ID と AccessKey シークレットを読み込みます。
$credentialsProvider = new Oss\Credentials\EnvironmentVariableCredentialsProvider();
// SDK のデフォルト設定を使用します。
$cfg = Oss\Config::loadDefault();
// 認証プロバイダーを指定します。
$cfg->setCredentialsProvider($credentialsProvider);
// リージョンを指定します。
$cfg->setRegion($region);
// エンドポイントが提供されている場合は、エンドポイントを指定します。
if (isset($options["endpoint"])) {
$cfg->setEndpoint($options["endpoint"]);
}
// OSSClient インスタンスを作成します。
$client = new Oss\Client($cfg);
// バケットポリシーを削除するためのリクエストを作成します。
$request = new Oss\Models\DeleteBucketPolicyRequest(bucket: $bucket);
// deleteBucketPolicy メソッドを使用してバケットポリシーを削除します。
$result = $client->deleteBucketPolicy($request);
// 返された結果を表示します。
printf(
'status code:' . $result->statusCode . PHP_EOL . // HTTP 応答ステータスコード。
'request id:' . $result-> requestId. PHP_EOL // リクエストの一意の識別子。
);
関連情報
バケットポリシーを設定するために使用される完全なサンプルコードについては、GitHub をご覧ください。
バケットポリシーを設定するために呼び出すことができる API 操作の詳細については、「PutBucketPolicy」をご参照ください。
バケットポリシーを照会するために使用される完全なサンプルコードについては、GitHub をご覧ください。
バケットポリシーを照会するために呼び出すことができる API 操作の詳細については、「GetBucketPolicy」をご参照ください。
バケットポリシーを削除するために使用される完全なサンプルコードについては、GitHub をご覧ください。
バケットポリシーを削除するために呼び出すことができる API 操作の詳細については、「DeleteBucketPolicy」をご参照ください。