概要
このトピックでは、Alibaba Cloud Object Storage Service (OSS) のアクセス許可を制御して、OSSリソースアクセスをより安全にする方法について説明します。
背景情報
OSSは、他のユーザーにOSSリソース権限を付与する複数の方法を提供します。 次のメカニズムを使用して、OSSリソースへのアクセスを制御し、データのセキュリティを確保できます。
- バケットACLの設定: RAMリスト (ACL) を使用して、バケットとオブジェクトに、パブリック読み取り /書き込み、パブリック読み取り、プライベートなどのアクセス許可を付与できます。
- ファイルACL: このパラメーターは、オブジェクトのアクセス許可を制御するために使用されます。 オブジェクトをアップロードするときにACLを設定できます。 また、ビジネス要件に基づいてオブジェクトがアップロードされた後、いつでもACLを変更できます。
- バケットポリシー: コンソールのバケットポリシー機能を使用すると、他のアカウントのRAMユーザーにアクセス権限を付与したり、匿名ユーザーに特定のIP条件でアクセス権限を付与したりするなど、他のユーザーにOSSリソースへのアクセスを簡単かつ直感的に許可できます。
- RAMポリシー: バケットとフォルダーへのアクセスを制御するRAMポリシーを構築します。 OSSは、RAMポリシーを迅速に生成するのに役立つRAMポリシーエディターを提供しています。 次の例は、実用的なチュートリアルを示しています。
- STSの一時的なアクセス資格情報を使用してOSSにアクセス: Alibaba Cloud STS(Security Token Service) を使用して、サードパーティのアプリケーションまたはRAMユーザーに、カスタムの有効期間で一時的なアクセス権限を付与します。
- Anti-leech: アクセスソースのホワイトリストを設定して、OSSリソースが他人に横領されないようにします。
参考資料
アクセス権限を設定すると、OSSリソースにアクセスするときにAccessDeniedエラーが発生するか、パブリック読み取りオブジェクトにアクセスできません。 詳細については、処理に関する次のドキュメントをご参照ください。
適用範囲
- OSS