RAM ポリシーは、アカウント内のリソースへのアクセスを制御するユーザーベースの権限付与ポリシーです。このトピックでは、RAM ポリシーを使用してユーザー権限を管理する方法について説明します。
背景情報
RAM ポリシーの構文と構造
RAM ポリシーは、バージョン番号 (Version) と 1 つ以上のステートメント (Statement) で構成されます。各ステートメントには、効果 (Effect)、アクション (Action)、リソース (Resource)、およびオプションの条件 (Condition) が含まれます。アクセスポリシーの構文と構造の詳細については、「アクセスポリシーの構文と構造」をご参照ください。
Object Storage Service (OSS) では、Version、Statement、Effect の適用ルールは Resource Access Management (RAM) と同じです。Action、Resource、Condition の詳細については、次のトピックをご参照ください。
一般的な OSS アクセスポリシー
AliyunOSSFullAccess:Resource Access Management (RAM) ユーザーに OSS の完全な管理権限を付与します。
AliyunOSSReadOnlyAccess:RAM ユーザーに OSS の読み取り専用アクセス権限を付与します。
OSS のアクセス制御メソッド
OSS が提供するアクセス制御メソッドの詳細については、「アクセス制御の概要」をご参照ください。
OSS アクションの分類
アクションは、サービスレベル、バケットレベル、オブジェクトレベルの操作に分類されます。
サービスレベル
API
アクション
説明
oss:ListBuckets
リクエスタが所有するすべてのバケットを一覧表示します。
oss:ListUserDataRedundancyTransition
リクエスタのすべてのストレージ冗長化移行タスクを一覧表示します。
なし
oss:ActivateProduct
OSS とコンテンツモデレーションを有効化します。
なし
oss:CreateOrder
OSS リソースプランの注文を作成します。
oss:PutPublicAccessBlock
グローバルレベルで OSS のパブリックアクセスブロックを有効化します。
oss:GetPublicAccessBlock
グローバルレベルで OSS のパブリックアクセスブロックの設定を取得します。
oss:DeletePublicAccessBlock
グローバルレベルで OSS のパブリックアクセスブロックの設定を削除します。
バケットレベル
API
アクション
説明
oss:PutBucket
バケットを作成します。
oss:ListObjects
バケット内のすべてのオブジェクトに関する情報を一覧表示します。
oss:GetBucketInfo
バケットに関する情報を表示します。
oss:GetBucketLocation
バケットの場所を表示します。
oss:GetBucketStat
バケット内のストレージ容量とオブジェクト数を取得します。
oss:PutBucketVersioning
バケットのバージョン管理状態を設定します。
oss:GetBucketVersioning
バケットのバージョン管理状態を取得します。
oss:ListObjectVersions
削除マーカーを含む、バケット内のオブジェクトのすべてのバージョンを一覧表示します。
oss:PutBucketAcl
バケットの ACL を設定または変更します。
oss:GetBucketAcl
バケットの ACL を取得します。
oss:DeleteBucket
バケットを削除します。
oss:InitiateBucketWorm
保持ポリシーを作成します。
oss:AbortBucketWorm
ロックされていない保持ポリシーを削除します。
oss:CompleteBucketWorm
保持ポリシーをロックします。
oss:ExtendBucketWorm
ロック済みの保持ポリシーがあるバケット内のオブジェクトの保持期間を延長します。
oss:GetBucketWorm
保持ポリシーに関する情報を取得します。
oss:PutBucketLogging
バケットのログストレージ機能を有効化します。
oss:PutObject
ソースバケットのログストレージを有効化する際に、ログの宛先バケットを設定します。
oss:GetBucketLogging
バケットのログストレージ設定を表示します。
oss:DeleteBucketLogging
バケットのログストレージ機能を無効化します。
oss:PutBucketWebsite
静的 Web サイトホスティング用にバケットを設定し、そのリダイレクトルール (RoutingRule) を設定します。
oss:GetBucketWebsite
バケットの静的 Web サイトホスティングのステータスとリダイレクトルールを表示します。
oss:DeleteBucketWebsite
バケットとそのリダイレクトルールの静的 Web サイトホスティングを無効化します。
oss:PutBucketReferer
バケットのホットリンク保護を設定します。
oss:GetBucketReferer
バケットのホットリンク保護 (Referer) 設定を表示します。
oss:PutBucketLifecycle
バケットのライフサイクルルールを設定します。
oss:GetBucketLifecycle
バケットのライフサイクルルールを表示します。
oss:DeleteBucketLifecycle
バケットのライフサイクルルールを削除します。
oss:PutBucketTransferAcceleration
バケットの転送アクセラレーションを設定します。
oss:GetBucketTransferAcceleration
バケットの転送アクセラレーション設定を表示します。
oss:ListMultipartUploads
進行中のすべてのマルチパートアップロードイベントを一覧表示します。進行中のマルチパートアップロードイベントとは、開始されたがまだ完了または中止されていないイベントです。
oss:PutBucketCors
バケットのオリジン間リソース共有 (CORS) ルールを設定します。
oss:GetBucketCors
バケットの現在の CORS ルールを取得します。
oss:DeleteBucketCors
バケットの CORS 機能を無効にし、すべてのルールをクリアします。
oss:PutBucketPolicy
バケットの権限付与ポリシーを設定します。
oss:GetBucketPolicy
バケットの権限付与ポリシーを取得します。
oss:DeleteBucketPolicy
バケットの権限付与ポリシーを削除します。
oss:PutBucketTagging
バケットのタグを追加または変更します。
oss:GetBucketTagging
バケットのタグを取得します。
oss:DeleteBucketTagging
バケットのタグを削除します。
oss:PutBucketEncryption
バケットの暗号化ルールを設定します。
oss:GetBucketEncryption
バケットの暗号化ルールを取得します。
oss:DeleteBucketEncryption
バケットの暗号化ルールを削除します。
oss:PutBucketRequestPayment
リクエスト元支払いモードを設定します。
oss:GetBucketRequestPayment
リクエスト元支払いモードの設定を取得します。
oss:PutBucketReplication
バケットのデータレプリケーションルールを設定します。
oss:ReplicateGet
バケットのクロスアカウントデータレプリケーションルールを設定するか、RAM ロールレプリケーションメソッドを指定します。
oss:PutBucketRTC
既存のクロスリージョンレプリケーションルールに対して、レプリケーション時間制御 (RTC) を有効または無効にします。
oss:GetBucketReplication
バケットのデータレプリケーションルールを取得します。
oss:DeleteBucketReplication
バケットのデータレプリケーションを停止し、そのレプリケーション設定を削除します。
oss:GetBucketReplicationLocation
レプリケーションの宛先バケットのリージョンを取得します。
oss:GetBucketReplicationProgress
バケットのデータレプリケーションの進捗状況を取得します。
oss:PutBucketInventory
バケットのインベントリールールを設定します。
oss:GetBucketInventory
バケット内の指定されたインベントリタスクを表示します。
oss:GetBucketInventory
バケット内のすべてのインベントリタスクをバッチで取得します。
oss:DeleteBucketInventory
バケット内の指定されたインベントリタスクを削除します。
oss:PutBucketAccessMonitor
バケットのアクセス追跡ステータスを設定します。
oss:GetBucketAccessMonitor
バケットのアクセス追跡ステータスを取得します。
oss:OpenMetaQuery
バケットのメタデータ管理機能を有効化します。
oss:GetMetaQueryStatus
バケットのメタデータインデックス情報を取得します。
oss:DoMetaQuery
指定された条件を満たすオブジェクトをクエリし、指定されたフィールドと並べ替え順序に基づいてオブジェクト情報を一覧表示します。
oss:CloseMetaQuery
バケットのメタデータ管理機能を無効化します。
oss:InitUserAntiDDosInfo
Anti-DDoS for OSS インスタンスを作成します。
oss:UpdateUserAntiDDosInfo
Anti-DDoS for OSS インスタンスのステータスを変更します。
oss:GetUserAntiDDosInfo
指定されたアカウント配下の Anti-DDoS for OSS インスタンスに関する情報をクエリします。
oss:InitBucketAntiDDosInfo
バケットの保護を初期化します。
oss:UpdateBucketAntiDDosInfo
バケットの保護ステータスを更新します。
oss:ListBucketAntiDDosInfo
バケット保護情報のリストを取得します。
oss:PutBucketResourceGroup
バケットが属するリソースグループを設定します。
oss:GetBucketResourceGroup
バケットが属するリソースグループの ID をクエリします。
oss:CreateCnameToken
ドメイン名の所有権検証に必要な CnameToken を作成します。
oss:GetCnameToken
作成された CnameToken を取得します。
oss:PutCname
カスタムドメイン名をバケットにアタッチします。
yundun-cert:DescribeSSLCertificatePrivateKey
yundun-cert:DescribeSSLCertificatePublicKeyDetail
yundun-cert:CreateSSLCertificate
カスタムドメイン名をバケットにアタッチする際に証明書をアタッチします。
oss:ListCname
バケットにアタッチされているすべてのカスタムドメイン名 (Cname) のリストを取得します。
oss:DeleteCname
バケットにアタッチされている Cname を削除します。
oss:PutStyle
画像スタイルを設定します。
oss:GetStyle
画像スタイルを取得します。
oss:ListStyle
画像スタイルを一覧表示します。
oss:DeleteStyle
画像スタイルを削除します。
oss:PutBucketArchiveDirectRead
バケットのアーカイブオブジェクトのリアルタイムアクセスを有効または無効にします。
oss:GetBucketArchiveDirectRead
バケットでアーカイブオブジェクトのリアルタイムアクセスが有効になっているかどうかを確認します。
oss:CreateAccessPoint
アクセスポイントを作成します。
oss:GetAccessPoint
単一のアクセスポイントに関する情報を取得します。
oss:DeleteAccessPoint
アクセスポイントを削除します。
oss:ListAccessPoints
ユーザーレベルおよびバケットレベルのアクセスポイントに関する情報を取得します。
oss:PutAccessPointPolicy
アクセスポイントポリシーを設定します。
oss:GetAccessPointPolicy
アクセスポイントポリシーに関する情報を取得します。
oss:DeleteAccessPointPolicy
アクセスポイントポリシーを削除します。
oss:PutBucketHttpsConfig
バケットの TLS バージョン設定を有効または無効にします。
oss:GetBucketHttpsConfig
バケットの TLS バージョン設定を表示します。
なし
oss:ReplicateList
レプリケーションプロセスに関わるリスト権限。これにより、OSS はソースバケットの履歴データを一覧表示し、オブジェクトごとにレプリケーションできます。
oss:CreateAccessPointForObjectProcess
Object FC アクセスポイントを作成します。
oss:GetAccessPointForObjectProcess
Object FC アクセスポイントの基本情報を取得します。
oss:DeleteAccessPointForObjectProcess
Object FC アクセスポイントを削除します。
oss:ListAccessPointsForObjectProcess
ユーザーレベルの Object FC アクセスポイントに関する情報を取得します。
oss:PutAccessPointConfigForObjectProcess
Object FC アクセスポイントの設定を変更します。
oss:GetAccessPointConfigForObjectProcess
Object FC アクセスポイントの設定情報を取得します。
oss:PutAccessPointPolicyForObjectProcess
Object FC アクセスポイントのアクセスポリシーを設定します。
oss:GetAccessPointPolicyForObjectProcess
Object FC アクセスポイントのアクセスポリシー設定を取得します。
oss:DeleteAccessPointPolicyForObjectProcess
Object FC アクセスポイントのアクセスポリシーを削除します。
oss:WriteGetObjectResponse
返されるデータと応答ヘッダーをカスタマイズします。
oss:CreateBucketDataRedundancyTransition
ストレージ冗長化移行タスクを作成します。
oss:GetBucketDataRedundancyTransition
ストレージ冗長化移行タスクを取得します。
oss:DeleteBucketDataRedundancyTransition
ストレージ冗長化移行タスクを削除します。
oss:ListBucketDataRedundancyTransition
バケット配下のすべてのストレージ冗長化移行タスクを一覧表示します。
oss:PutBucketPublicAccessBlock
バケットのパブリックアクセスブロックを有効化します。
oss:GetBucketPublicAccessBlock
バケットのパブリックアクセスブロック設定を取得します。
oss:DeleteBucketPublicAccessBlock
バケットのパブリックアクセスブロック設定を削除します。
oss:PutAccessPointPublicAccessBlock
アクセスポイントのパブリックアクセスブロックを有効化します。
oss:GetAccessPointPublicAccessBlock
アクセスポイントのパブリックアクセスブロック設定を取得します。
oss:DeleteAccessPointPublicAccessBlock
アクセスポイントのパブリックアクセスブロック設定を削除します。
oss:GetBucketPolicyStatus
現在のバケットポリシーがパブリックアクセスを許可しているかどうかを確認します。
oss:PutBucketOverwriteConfig
バケットの上書き禁止設定を行います。
oss:GetBucketOverwriteConfig
バケットの上書き禁止設定を取得します。
oss:DeleteBucketOverwriteConfig
バケットの上書き禁止設定を削除します。
オブジェクトレベル
API
アクション
説明
oss:PutObject
オブジェクトをアップロードします。
oss:PutObjectTagging
オブジェクトのアップロード時に x-oss-tagging を使用してオブジェクトのタグを指定します。
kms:GenerateDataKey
kms:Decrypt
オブジェクトのアップロード時に、オブジェクトのメタデータに X-Oss-Server-Side-Encryption: KMS を含めることを指定します。
oss:PutObject
HTML フォームを使用して、指定されたバケットにオブジェクトをアップロードします。
oss:PutObject
追加アップロードを使用してオブジェクトをアップロードします。
oss:PutObjectTagging
追加アップロードを使用してオブジェクトをアップロードする際に、x-oss-tagging を使用してオブジェクトのタグを指定します。
oss:PutObject
マルチパートアップロードタスクを初期化します。
oss:PutObjectTagging
マルチパートアップロードタスクの初期化時に、x-oss-tagging を使用してオブジェクトのタグを指定します。
kms:GenerateDataKey
kms:Decrypt
マルチパートアップロードタスクの初期化時に、オブジェクトのメタデータに X-Oss-Server-Side-Encryption: KMS を含めることを指定します。
oss:PutObject
指定されたオブジェクト名と uploadId に基づいて、データをパート単位でアップロードします。
oss:PutObject
すべてのデータパートがアップロードされた後、この API を呼び出してオブジェクト全体のマルチパートアップロードを完了します。
oss:PutObjectTagging
すべてのデータパートがアップロードされた後、この API を呼び出してオブジェクト全体のマルチパートアップロードを完了し、オブジェクトタグを指定します。
oss:AbortMultipartUpload
マルチパートアップロードイベントをキャンセルし、対応するパートデータを削除します。
oss:PutObject
OSS 内のターゲットオブジェクトのシンボリックリンクを作成します。
oss:PutObjectTagging
OSS 内のターゲットオブジェクトに対して、指定されたオブジェクトタグを持つシンボリックリンクを作成します。
oss:GetObject
オブジェクトを取得します。
kms:Decrypt
指定された KMS キーで暗号化されたオブジェクトをダウンロードします。
oss:GetObjectVersion
オブジェクトの指定されたバージョンをダウンロードします。
oss:GetObject
オブジェクトのメタデータを取得します。
oss:GetObject
ETag、Size、LastModified 情報を含むオブジェクトのメタデータを取得します。
oss:GetObject
ターゲットファイルに対して SQL ステートメントを実行し、結果を返します。
oss:GetObject
ターゲットファイルのシンボリックリンクを取得します。
oss:DeleteObject
オブジェクトを削除します。
oss:DeleteObjectVersion
オブジェクトの指定されたバージョンを削除します。
oss:DeleteObject
同じバケットから複数のオブジェクトを削除します。
oss:GetObject
oss:PutObject
同じリージョン内のバケット間でオブジェクトをコピーします。バケットは同じでも異なっていてもかまいません。
oss:GetObjectVersion
同じリージョン内のバケット間でオブジェクトの指定されたバージョンをコピーします。バケットは同じでも異なっていてもかまいません。
oss:GetObjectTagging
oss:PutObjectTagging
同じリージョン内のバケット間で指定されたタグを持つオブジェクトをコピーします。バケットは同じでも異なっていてもかまいません。
kms:GenerateDataKey
kms:Decrypt
オブジェクトのコピー時に、宛先オブジェクトのメタデータに X-Oss-Server-Side-Encryption: KMS を含めることを指定します。
oss:GetObjectVersionTagging
同じリージョン内のバケット間で、指定されたタグを持つオブジェクトの指定されたバージョンをコピーします。バケットは同じでも異なっていてもかまいません。
oss:GetObject
oss:PutObject
UploadPart リクエストに x-oss-copy-source リクエストヘッダーを追加して UploadPartCopy API を呼び出します。これにより、既存のオブジェクトからデータをコピーしてパートをアップロードします。
oss:GetObjectVersion
UploadPart リクエストに x-oss-copy-source リクエストヘッダーを追加して UploadPartCopy API を呼び出します。これにより、既存のオブジェクトの指定されたバージョンからデータをコピーしてパートをアップロードします。
oss:ListParts
指定された Upload ID に属する、正常にアップロードされたすべてのパートを一覧表示します。
oss:PutObjectAcl
バケット内のオブジェクトの ACL を変更します。
oss:PutObjectVersionAcl
バケット内のオブジェクトの指定されたバージョンの ACL を変更します。
oss:GetObjectAcl
バケット内のオブジェクトの ACL を取得します。
oss:GetObjectVersionAcl
バケット内のオブジェクトの指定されたバージョンの ACL を取得します。
oss:RestoreObject
アーカイブストレージ、低頻度アクセス (コールドアーカイブ)、または長期アーカイブストレージクラスのオブジェクトを復元します。
oss:RestoreObjectVersion
アーカイブストレージ、低頻度アクセス (コールドアーカイブ)、または長期アーカイブストレージクラスのオブジェクトの指定されたバージョンを復元します。
oss:PutObjectTagging
オブジェクトのタグを設定または更新します。
oss:PutObjectVersionTagging
オブジェクトの指定されたバージョンのタグを設定または更新します。
oss:GetObjectTagging
オブジェクトのタグを取得します。
oss:GetObjectVersionTagging
オブジェクトの指定されたバージョンのタグを取得します。
oss:DeleteObjectTagging
指定されたオブジェクトのタグを削除します。
oss:DeleteObjectVersionTagging
オブジェクトの指定されたバージョンのタグを削除します。
oss:PutLiveChannel
RTMP を使用して音声および動画データをアップロードする前に、この API を呼び出して LiveChannel を作成する必要があります。
oss:ListLiveChannel
指定された LiveChannel を一覧表示します。
oss:DeleteLiveChannel
指定された LiveChannel を削除します。
oss:PutLiveChannelStatus
有効状態と無効状態を切り替えます。
oss:GetLiveChannel
指定された LiveChannel の設定情報を取得します。
oss:GetLiveChannelStat
指定された LiveChannel のストリーム取り込みステータスを取得します。
oss:GetLiveChannelHistory
指定された LiveChannel のストリーム取り込みレコードを取得します。
oss:PostVodPlaylist
指定された LiveChannel のビデオオンデマンドプレイリストを生成します。
oss:GetVodPlaylist
指定された時間範囲内に指定された LiveChannel へのストリーム取り込みから生成されたプレイリストを表示します。
なし
oss:PublishRtmpStream
音声および動画データストリームを RTMP にプッシュします。
なし
oss:ProcessImm
OSS を介してデータ処理に IMM を使用する権限。
oss:GetObject
POST リクエストを介してデータ処理に IMM を使用する権限。
oss:PutObject
Saveas データ処理に IMM を使用する権限。
oss:PostProcessTask
処理された画像を指定されたバケットに保存します。
imm:CreateOfficeConversionTask
ドキュメント変換またはスナップショットに IMM を使用する権限。
imm: GenerateWebofficeToken
Weboffice 認証情報を取得するために使用されます。
imm:RefreshWebofficeToken
Weboffice 認証情報を更新するために使用されます。
なし
oss:ReplicateGet
レプリケーションプロセスに関わる読み取り権限。これにより、OSS はオブジェクト、パート、マルチパートアップロードを含む、ソースバケットと宛先バケットからデータとメタデータを読み取ることができます。
なし
oss:ReplicatePut
レプリケーションプロセスに関わる書き込み権限。これにより、OSS はオブジェクト、マルチパートアップロード、パート、シンボリックリンクの書き込み、メタデータの変更など、宛先バケットでレプリケーション関連の書き込み操作を実行できます。
なし
oss:ReplicateDelete
レプリケーションプロセスに関わる削除権限です。この権限により、OSS は宛先バケットで DeleteObject、AbortMultipartUpload、DeleteMarker を含むレプリケーション関連の削除操作を実行できます。
重要データレプリケーションメソッドが [同期、作成、削除、更新] に設定されている場合にのみ、この操作を RAM ロールに付与する必要があります。
リソースプール QoS
API
アクション
説明
oss:PutBucketQoSInfo
リソースプール内のバケットのスロットリングを設定します。
oss:GetBucketQoSInfo
リソースプール内のバケットのスロットリング設定を取得します。
oss:DeleteBucketQoSInfo
リソースプール内の指定されたバケットのスロットリング設定を削除します。
oss:PutBucketRequesterQoSInfo
リクエスタのバケットレベルのスロットリングを設定します。
oss:GetBucketRequesterQoSInfo
指定されたリクエスタのバケットレベルのスロットリング設定を取得します。
oss:ListBucketRequesterQoSInfo
すべてのリクエスタのバケットレベルのスロットリング設定を取得します。
oss:DeleteBucketRequesterQoSInfo
バケットに対するリクエスタのスロットリング設定を削除します。
oss:ListResourcePools
現在のアカウント配下のすべてのリソースプールに関する情報を取得します。
oss:GetResourcePoolInfo
指定されたリソースプールのスロットリング設定を取得します。
oss:ListResourcePoolBuckets
指定されたリソースプールに含まれるバケットのリストを取得します。
oss:PutResourcePoolRequesterQoSInfo
リソースプールのリクエスタのスロットリングを設定します。
oss:GetResourcePoolRequesterQoSInfo
リソースプール内の指定されたリクエスタのスロットリング設定を取得します。
oss:ListResourcePoolRequesterQoSInfos
リソースプール内のすべてのリクエスタのスロットリング設定を取得します。
oss:DeleteResourcePoolRequesterQoSInfo
リソースプール内の指定されたリクエスタのスロットリング設定を削除します。
ベクトルバケット
API
アクション
説明
oss:PutVectorBucket
ベクトルバケットを作成します。
oss:GetVectorBucket
ベクトルバケットの詳細を取得します。
oss:ListVectorBuckets
リクエスタが所有するすべてのベクトルバケットを一覧表示します。
oss:DeleteVectorBucket
ベクトルバケットを削除します。
oss:PutBucketLogging
ベクトルバケットのログストレージ機能を有効化します。
oss:PutObject
ソースベクトルバケットのログストレージを有効化する際に、ログの宛先バケットを設定します。
oss:GetBucketLogging
ベクトルバケットのログストレージ設定を表示します。
oss:DeleteBucketLogging
ベクトルバケットのログストレージ機能を無効化します。
oss:PutBucketPolicy
指定されたベクトルバケットの権限付与ポリシーを設定します。
oss:GetBucketPolicy
指定されたベクトルバケットの権限付与ポリシーを取得します。
oss:DeleteBucketPolicy
指定されたベクトルバケットの権限付与ポリシーを削除します。
oss:PutVectorIndex
ベクトルインデックスを作成します。
oss:GetVectorIndex
ベクトルインデックスの詳細を取得します。
oss:ListVectorIndexes
ベクトルバケット内のすべてのベクトルインデックスを一覧表示します。
oss:DeleteVectorIndex
ベクトルインデックスを削除します。
oss:PutVectors
ベクトルデータを書き込みます。
oss:GetVectors
指定されたベクトルデータを取得します。
oss:ListVectors
ベクトルインデックス内のすべてのベクトルデータを一覧表示します。
oss:QueryVectors
ベクトル類似検索を実行します。
oss:DeleteVectors
ベクトルインデックスから指定されたベクトルデータを削除します。
OSS リソースの仕様
OSS では、Resource は 1 つ以上のリソースを指定し、アスタリスク (*) ワイルドカード文字をサポートします。単一の RAM ポリシーに複数のリソースを含めることができます。
バケット
分類 | 形式 | 例 |
バケットレベル |
|
|
オブジェクトレベル |
|
|
リソースプールレベル |
|
|
ベクトルバケット
リソースレベル | 形式 | 例 |
すべてのベクトルリソース |
|
|
ベクトルバケット |
|
|
ベクトルインデックス |
|
|
ベクトルデータ |
|
|
現在、リージョンフィールドはアスタリスク (*) ワイルドカード文字のみをサポートしています。
OSS 条件の仕様
OSS の Condition は、権限付与が有効になるために満たす必要がある条件を指定します。これは、条件演算子の種類、条件キー、および条件値で構成されます。
OSS の Condition の条件演算子の種類と条件キーは次のとおりです。
条件演算子の種類
条件演算子の種類
サポートされる種類
文字列
StringEquals
StringNotEquals
StringEqualsIgnoreCase
StringNotEqualsIgnoreCase
StringLike
StringNotLike
数値
NumericEquals
NumericNotEquals
NumericLessThan
NumericLessThanEquals
NumericGreaterThan
NumericGreaterThanEquals
日時
DateEquals
DateNotEquals
DateLessThan
DateLessThanEquals
DateGreaterThan
DateGreaterThanEquals
ブール値
Bool
IP アドレス
IpAddress
NotIpAddress
IpAddressIncludeBorder
条件キー
条件キー
説明
acs:SourceIp
通常の IP CIDR ブロックを指定します。アスタリスク (*) ワイルドカード文字がサポートされています。
acs:SourceVpc
VPC を指定します。 特定の VPC ID または vpc-* をセットできます。
重要acs:SourceVpcを使用してソース VPC に基づいてアクセスを制限する場合、選択した VPC のリージョンが、OSS ゲートウェイエンドポイントをサポートしているリージョンと一致している必要があります。一致していない場合、認証リクエストを対応する VPC に関連付けることができず、認証が失敗します。OSS ゲートウェイエンドポイントがサポートされているリージョンの詳細については、「OSS ゲートウェイエンドポイントをサポートするリージョン」をご参照ください。acs:UserAgent
HTTP User-Agent ヘッダーを指定します。
タイプ:文字列。
acs:CurrentTime
リクエストが OSS サーバーに到着した時刻。
形式:ISO 8601。
acs:SecureTransport
リクエストのプロトコルタイプ。有効な値:
true:HTTPS リクエストのみを許可します。
false:HTTP リクエストのみを許可します。
acs:SecureTransportが設定されていない場合、HTTP と HTTPS の両方のリクエストが許可されます。oss:x-oss-acl
バケット ACL の種類を制限します。有効な値:
private:非公開。
public-read:公開読み取り。
public-read-write:公開読み書きを許可します。
詳細については、「バケット ACL」をご参照ください。
oss:x-oss-object-acl
オブジェクト ACL の種類を制限します。有効な値:
private:リソースは非公開です。
public-read:公開読み取り。
public-read-write:すべてのユーザーが読み取りおよび書き込み権限を持ちます。
default:バケット ACL を継承します。
詳細については、「オブジェクト ACL」をご参照ください。
oss:Prefix
ListObjects リクエストで使用され、指定されたプレフィックスを持つオブジェクトを一覧表示します。
oss:Delimiter
ListObjects リクエストでオブジェクト名をグループ化するために使用される文字。
acs:AccessId
リクエストに含まれる AccessId。
oss:BucketTag
バケットタグ。
単一のバケットタグを条件として使用できます。複数のバケットタグを指定する場合は、各タグに
oss:BucketTag/プレフィックスを追加して複数の条件を形成する必要があります。acs:MFAPresent
多要素認証 (MFA) が有効になっているかどうかを指定します。
有効な値:
true:MFA は有効です。
false:MFA は有効ではありません。
oss:ExistingObjectTag
リクエストされたオブジェクトの既存のタグ。
単一のオブジェクトタグを条件として使用できます。複数のオブジェクトタグを指定する場合は、各タグに
oss:ExistingObjectTag/プレフィックスを追加する必要があります。これは主に、GetObject や HeadObject などのファイルの読み取り用 API、および PutObjectTagging や GetObjectTagging などのオブジェクトタグ付け API に適用されます。
oss:RequestObjectTag
リクエストに含まれるオブジェクトタグ。
単一のオブジェクトタグを条件として使用できます。複数のオブジェクトタグを指定する場合は、各タグに
oss:RequestObjectTag/プレフィックスを追加する必要があります。これは主に、PutObject や PostObject などのファイルの書き込み用 API、および PutObjectTagging や GetObjectTagging などのオブジェクトタグ付け API に適用されます。