バケット ACL(アクセス制御リスト)は、OSS 内でバケットレベルのアクセスを制御する仕組みです。バケット ACL を使用して、バケットのアクセス権限を公開または非公開に設定できます。ACL を明示せずにアップロードされたオブジェクトは、自動的にバケットの ACL を継承します。
仕組み
バケット ACL は、事前定義された権限値を使用してバケットへのアクセスを制御します。
|
値 |
説明 |
|
private(デフォルト) |
非公開。バケットの所有者または許可されるユーザーのみが、バケット内のオブジェクトを読み取りおよび書き込みできます。 |
|
public-read |
公開読み取り。バケットの所有者または許可されるユーザーのみがオブジェクトを書き込めますが、匿名ユーザーを含む誰でも読み取り可能です。 |
|
public-read-write |
公開読み書き。匿名ユーザーを含む誰でも、バケット内のオブジェクトを読み取りおよび書き込みできます。 |
-
public-read-write:インターネット上の任意のユーザーがバケット内のオブジェクトにアクセスおよび書き込みできるようになります。これにより、データが漏洩したり、予期しない課金が発生したり、違法コンテンツが悪意を持ってアップロードされたりする可能性があります。特に必要がない限り、この設定は避けてください。
-
public-read:インターネット上の任意のユーザーがバケット内のオブジェクトを読み取れるようになります。これにより、データが漏洩したり、予期しない課金が発生したりする可能性があります。この設定は慎重に使用してください。
バケット ACL の設定
バケットを作成する際、公開アクセス禁止がデフォルトで有効になっており、バケット ACL は非公開にのみ設定できます。ACL を public-read または public-read-write に設定するには、まず公開アクセス禁止を無効にする必要があります。
コンソール
-
バケット一覧に移動し、対象のバケット名をクリックします。
-
左側のナビゲーションウィンドウで、を選択します。
-
セットアップをクリックし、必要に応じてバケット ACL を変更します。
-
設定をクリックします。
ossutil CLI
ossutil コマンドラインツール 2.0 の put-bucket-acl コマンドを使用して、バケット ACL を設定します。
ossutil api put-bucket-acl --bucket example-bucket --acl privateSDK
以下のコードサンプルは、一般的な SDK を使用してバケット ACL を変更する方法を示しています。その他の SDK のコードサンプルについては、SDK リファレンスをご参照ください。
// このサンプルコードは、バケットのアクセス制御リスト (ACL) を設定する方法を示しています。
// サンプルコードを実行する前に、OSS_ACCESS_KEY_ID および OSS_ACCESS_KEY_SECRET 環境変数を設定してください。
import com.aliyun.sdk.service.oss2.OSSClient;
import com.aliyun.sdk.service.oss2.credentials.CredentialsProvider;
import com.aliyun.sdk.service.oss2.credentials.StaticCredentialsProvider;
import com.aliyun.sdk.service.oss2.models.*;
public class SetBucketAcl {
public static void main(String[] args) {
String bucketName = "example-bucket";
String accessKeyId = System.getenv("OSS_ACCESS_KEY_ID");
String accessKeySecret = System.getenv("OSS_ACCESS_KEY_SECRET");
CredentialsProvider provider = new StaticCredentialsProvider(accessKeyId, accessKeySecret);
try (OSSClient client = OSSClient.newBuilder()
.credentialsProvider(provider)
.region("<region-id>")
.build()) {
// バケット ACL を private に設定します。
// 有効な値: "private", "public-read", "public-read-write"
PutBucketAclRequest putRequest = PutBucketAclRequest.newBuilder()
.bucket(bucketName)
.acl("private")
.build();
PutBucketAclResult putResult = client.putBucketAcl(putRequest);
System.out.println("Bucket ACL set successfully. RequestId: " + putResult.requestId());
// バケット ACL を取得します。
GetBucketAclRequest getRequest = GetBucketAclRequest.newBuilder()
.bucket(bucketName)
.build();
GetBucketAclResult getResult = client.getBucketAcl(getRequest);
System.out.println("Current bucket ACL: " + getResult.accessControlPolicy().accessControlList().grant());
} catch (Exception e) {
System.err.println("Operation failed: " + e.getMessage());
}
}
}
#!/usr/bin/env python3
# -*- coding: utf-8 -*-
# このサンプルコードは、バケットのアクセス制御リスト (ACL) を設定する方法を示しています。
# サンプルコードを実行する前に、OSS_ACCESS_KEY_ID および OSS_ACCESS_KEY_SECRET 環境変数を設定してください。
import alibabacloud_oss_v2 as oss
def main() -> None:
bucket_name = "example-bucket"
credentials_provider = oss.credentials.EnvironmentVariableCredentialsProvider()
cfg = oss.config.load_default()
cfg.credentials_provider = credentials_provider
cfg.region = "<region-id>"
client = oss.Client(cfg)
# バケット ACL を private に設定します。
# 有効な値: "private", "public-read", "public-read-write"
put_result = client.put_bucket_acl(oss.PutBucketAclRequest(
bucket=bucket_name,
acl="private"
))
print(f"Bucket ACL set successfully. RequestId: {put_result.request_id}")
# バケット ACL を取得します。
get_result = client.get_bucket_acl(oss.GetBucketAclRequest(
bucket=bucket_name
))
print(f"Current bucket ACL: {get_result.acl}")
if __name__ == "__main__":
main()
// このサンプルコードは、バケットのアクセス制御リスト (ACL) を設定する方法を示しています。
// サンプルコードを実行する前に、OSS_ACCESS_KEY_ID および OSS_ACCESS_KEY_SECRET 環境変数を設定してください。
package main
import (
"context"
"log"
"github.com/aliyun/alibabacloud-oss-go-sdk-v2/oss"
"github.com/aliyun/alibabacloud-oss-go-sdk-v2/oss/credentials"
)
func main() {
bucketName := "example-bucket"
cfg := oss.LoadDefaultConfig().
WithCredentialsProvider(credentials.NewEnvironmentVariableCredentialsProvider()).
WithRegion("<region-id>")
client := oss.NewClient(cfg)
// バケット ACL を private に設定します。
// 有効な値: oss.BucketACLPrivate, oss.BucketACLPublicRead, oss.BucketACLPublicReadWrite
putResult, err := client.PutBucketAcl(context.TODO(), &oss.PutBucketAclRequest{
Bucket: oss.Ptr(bucketName),
Acl: oss.BucketACLPrivate,
})
if err != nil {
log.Fatalf("Failed to set bucket ACL: %v", err)
}
log.Printf("Bucket ACL set successfully. RequestId: %s", putResult.Headers.Get("X-Oss-Request-Id"))
// バケット ACL を取得します。
getResult, err := client.GetBucketAcl(context.TODO(), &oss.GetBucketAclRequest{
Bucket: oss.Ptr(bucketName),
})
if err != nil {
log.Fatalf("Failed to get bucket ACL: %v", err)
}
log.Printf("Current bucket ACL: %s", *getResult.ACL)
}
<?php
// このサンプルコードは、バケットのアクセス制御リスト (ACL) を設定する方法を示しています。
// サンプルコードを実行する前に、OSS_ACCESS_KEY_ID および OSS_ACCESS_KEY_SECRET 環境変数を設定してください。
require_once __DIR__ . '/vendor/autoload.php';
use AlibabaCloud\Oss\V2 as Oss;
$bucketName = 'example-bucket';
$credentialsProvider = new Oss\Credentials\EnvironmentVariableCredentialsProvider();
$cfg = Oss\Config::loadDefault();
$cfg->setCredentialsProvider($credentialsProvider);
$cfg->setRegion('<region-id>');
$client = new Oss\Client($cfg);
try {
// バケット ACL を private に設定します。
// 有効な値: BucketACLType::PRIVATE, BucketACLType::PUBLIC_READ, BucketACLType::PUBLIC_READ_WRITE
$putResult = $client->putBucketAcl(new Oss\Models\PutBucketAclRequest(
bucket: $bucketName,
acl: Oss\Models\BucketACLType::PRIVATE
));
printf("Bucket ACL set successfully. RequestId: %s\n", $putResult->requestId);
// バケット ACL を取得します。
$getResult = $client->getBucketAcl(new Oss\Models\GetBucketAclRequest(
bucket: $bucketName
));
printf("Current bucket ACL: %s\n", $getResult->accessControlList->grant);
} catch (Exception $e) {
printf("Operation failed: %s\n", $e->getMessage());
}
// このサンプルコードは、バケットのアクセス制御リスト (ACL) を設定する方法を示しています。
// サンプルコードを実行する前に、OSS_ACCESS_KEY_ID および OSS_ACCESS_KEY_SECRET 環境変数を設定してください。
using OSS = AlibabaCloud.OSS.V2;
var bucketName = "example-bucket";
var region = "<region-id>";
var cfg = OSS.Configuration.LoadDefault();
cfg.CredentialsProvider = new OSS.Credentials.EnvironmentVariableCredentialsProvider();
cfg.Region = region;
using var client = new OSS.Client(cfg);
try
{
// バケット ACL を private に設定します。
// 有効な値: "private", "public-read", "public-read-write"
var putResult = await client.PutBucketAclAsync(new OSS.Models.PutBucketAclRequest()
{
Bucket = bucketName,
Acl = "private"
});
Console.WriteLine($"Bucket ACL set successfully. RequestId: {putResult.RequestId}");
// バケット ACL を取得します。
var getResult = await client.GetBucketAclAsync(new OSS.Models.GetBucketAclRequest()
{
Bucket = bucketName
});
Console.WriteLine($"Current bucket ACL: {getResult.AccessControlPolicy?.AccessControlList?.Grant}");
}
catch (Exception ex)
{
Console.WriteLine($"Operation failed: {ex.Message}");
}
// このサンプルコードは、バケットのアクセス制御リスト (ACL) を設定する方法を示しています。
// サンプルコードを実行する前に、OSS_ACCESS_KEY_ID および OSS_ACCESS_KEY_SECRET 環境変数を設定してください。
const OSS = require('ali-oss');
async function main() {
const bucketName = 'example-bucket';
const client = new OSS({
region: 'oss-<region-id>',
accessKeyId: process.env.OSS_ACCESS_KEY_ID,
accessKeySecret: process.env.OSS_ACCESS_KEY_SECRET,
authorizationV4: true,
});
try {
// バケット ACL を private に設定します。
// 有効な値: 'private', 'public-read', 'public-read-write'
await client.putBucketACL(bucketName, 'private');
console.log('Bucket ACL set successfully.');
// バケット ACL を取得します。
const result = await client.getBucketACL(bucketName);
console.log(`Current bucket ACL: ${result.acl}`);
} catch (err) {
console.error('Operation failed:', err.message);
}
}
main();
バケット ACL 変更の追跡
バケットへの不審なアクセスを検出したり、誤ってデータが公開されたり、セキュリティアラートを受け取ったりした場合、または定期的な監査が必要な場合は、ActionTrail を使用してバケット ACL の変更内容(誰がいつ変更したかなど)を追跡できます。
-
ActionTrail コンソールに移動します。左側のナビゲーションウィンドウで、を選択します。
-
ページ上部で、バケットが配置されているリージョンを選択します。サービス名を
Object Storage Service (OSS)に、イベント名をPutBucketAclに設定します。すると、ActionTrail が一致するバケット ACL 変更記録を自動的に検索します。 -
ページ右側で、サマリーリストオプションを無効にします。変更記録の操作列で、詳細を表示をクリックし、続いてタイムラインの設定をクリックして、変更前後の値を確認します。
よくある質問
CDN オリジン:公開 ACL は必須ですか?
いいえ、公開読み取り権限は必須ではありません。バケット ACL が非公開に設定されている場合でも、CDN を構成してバケットにアクセスできます。詳細については、「プライベートオリジンバケットへのアクセス設定」をご参照ください。
関連ドキュメント
-
高度にカスタマイズされたシナリオでは、REST API を直接呼び出します。この場合、署名を手動で計算するコードを記述する必要があります。API の詳細については、「PutBucketAcl」をご参照ください。
-
他のユーザーに対して、バケット内の特定のプレフィックスを持つオブジェクトに対する読み取り専用または書き込み専用など、長期的かつ詳細な権限を付与するには、バケットポリシーまたはRAM ポリシーを使用します。
-
他のユーザーに対して、バケット内のすべてのオブジェクトを一覧表示する権限など、一時的かつ詳細な権限を付与するには、STS から一時アクセス認証情報を利用します。詳細については、「STS が提供する一時アクセス認証情報を使用して OSS にアクセスする」をご参照ください。