Object Storage Service:アクセスポイントの作成

1. アクセスポイントに関する基本情報を設定します。

   1. Object Storage Service (OSS) コンソールにログインします。

   2. 左側のナビゲーションウィンドウで、アクセスポイント をクリックします。

   3. アクセスポイント ページで、[アクセスポイントの作成] をクリックします。

   4. [アクセスポイントの作成] パネルで、[基本情報] ステップで次のパラメーターを設定し、[次へ] をクリックします。

      パラメーター	説明	例
      アクセスポイント名	アクセスポイントの名前を指定します。 アクセスポイントの名前は、次の要件を満たす必要があります。 名前はAlibaba Cloudアカウントおよびリージョン内で一意である必要があります。 名前は-ossaliasで終わることはできません。 名前には、小文字、数字、ハイフン (-) のみを使用できます。 ハイフン (-) で開始または終了することはできません。 名前は3 ~ 19文字である必要があります。	ユニット1〜3: ap-01 ユニット4: ap-02 ユニット5 to10: ap-03
      バケット	ドロップダウンリストからアクセスポイントを作成するバケットを選択します。 バケットに最大100のアクセスポイントを作成できます。	examplebucket
      ネットワークソース	アクセスポイントのネットワークソースを選択します。 インターネット: バケット内のデータには、インターネットまたは内部ネットワーク経由でアクセスできます。 VPC: バケット内のデータには、特定のVPC経由でのみアクセスできます。 このオプションを選択した場合、VPC IDを指定する必要があります。 重要 アクセスポイントのネットワークソースがVPCの場合、OSSコンソールを使用してアクセスポイントに関連付けられているバケット内のリソースにアクセスすることはできません。 リソースにアクセスするには、OSS SDKを使用してアクセスポイントをバケットの内部エンドポイントと結合します。	ユニット1〜3: インターネット ユニット4: インターネット ユニット5〜10: VPC

2. アクセスポイントポリシーを設定します。

   重要

   アクセスポイントポリシーは、アクセスポイントを使用して行われた要求にのみ適用され、バケットの他の使用可能なアクセス方法には影響しません。

   GUIでのアクセスポリシーの追加

   1. [アクセスポイントポリシー] ステップで、パラメーターを設定します。 下表に、各パラメーターを説明します。

      パラメーター	説明	例
      アクセスポイントポリシー	GUI で追加 を選択します。	N/A
      アクセスポイントのARN	アクセスポイントのAlibaba Cloudリソース名 (ARN) を指定します。 形式: acs:oss:region:account UID:accesspoint/accessPointName/object/*	acs:oss:cn-hangzhou:137918634953 ****: アクセスポイント /ap-01 /オブジェクト /*
      関連リソース	アクセスポイントポリシーを適用するリソースを選択します。 バケット全体: アクセスポイントポリシーは、バケット内のすべてのリソースに適用されます。 指定されたリソース: バケットポリシーは、バケット内の特定のリソースにのみ適用されます。 バケット内の特定のリソースに対して複数のアクセスポイントポリシーを設定できます。	ユニット1〜3: 特定のリソース ユニット4: バケット全体 ユニット5〜10: 特定のリソース
      リソースパス	関連リソース が バケット全体 に設定されている場合、リソースパスの値は自動的にaccesspoint/accessPointName/* 形式で入力されるため、リソースパスを指定する必要はありません。 関連リソース が 指定されたリソース に設定されている場合、次の要件に基づいてリソースパスパラメーターを指定します。 ディレクトリレベルの権限付与 ディレクトリ内のすべてのサブディレクトリおよびオブジェクトへのアクセスを許可するには、ディレクトリ名にアスタリスク (*) を追加します。 たとえば、abcという名前のディレクトリ内のすべてのサブディレクトリおよびオブジェクトへのアクセスを許可するには、abc/* と入力します。 オブジェクトレベルの権限付与 特定のオブジェクトへのアクセスを許可するには、バケット名を除くオブジェクトのフルパスを入力します。 たとえば、abcディレクトリ内のmyphoto.pngという名前のオブジェクトへのアクセスを許可するには、abc/myphoto.pngと入力します。	ユニット1〜3: アクセスポイント /ap-01 /オブジェクト /dir1/* ユニット4: アクセスポイント /ap-01/* ユニット5〜10: アクセスポイント /ap-01 /オブジェクト /dir2/*
      承認済みユーザー	権限を付与するアカウントのタイプを選択します。 現在のAlibaba CloudアカウントのRAMユーザーのみが、特定のリソースへのアクセスを許可されます。 [RAMユーザー] を選択し、ドロップダウンリストからRAMユーザーを選択します。 複数のRAMユーザーに権限を付与する場合は、検索ボックスにRAMユーザー名のキーワードを入力してあいまい一致を実行することをお勧めします。 重要 RAMユーザーを選択する前に、Alibaba Cloudアカウントを使用するか、RAMコンソールでバケットを管理する権限とListUsers権限を持つRAMユーザーとしてOSSコンソールにログインしてください。 それ以外の場合、現在のAlibaba CloudアカウントのRAMユーザーを表示できません。 RAMユーザーにListUsers権限を付与する方法の詳細については、「RAMユーザーに権限を付与する」をご参照ください。	ユニット1〜3: RAMユーザー (UID: 26571698800555 ****) ユニット4: RAMユーザー (UID: 25770968794578 ****) ユニット5〜10: RAMユーザー (UID: 26806658794579 ****)
      許可された操作	許可された操作を指定するには、[基本設定] および [詳細設定] のいずれかのオプションを選択できます。 基本設定 このオプションを選択する場合は、ビジネス要件に基づいて次の権限を設定します。 各権限の右側のアイコンの上にポインターを移動して、権限に対応するアクションを表示できます。 読み取り専用 (ListObject を除く): 許可されたユーザーがリソースを表示およびダウンロードできるようにします。 読み取り専用 (ListObject を除く): 許可されたユーザーがリソースを表示、一覧表示、ダウンロードできるようにします。 読み書き: 許可されたユーザーがリソースを読み書きできるようにします。 フルコントロール: 許可されたユーザーがリソースに対するすべての操作を実行できるようにします。 アクセス拒否: 許可されたユーザーがリソースに対して操作を実行することを禁止します。 重要 ユーザーに複数のバケットポリシーが設定されている場合、そのユーザーはポリシーで設定されているすべての権限を持ちます。 ただし、Authorized Operationパラメーターがアクセス拒否に設定されているバケットポリシーが作成された場合、このバケットポリシーが優先されます。 たとえば、許可された操作が読み取り専用に設定されている最初のバケットポリシーを設定し、許可された操作が読み取り /書き込みに設定されている2番目のバケットポリシーを設定した場合、読み取り /書き込み権限がユーザーに付与されます。 許可された操作がアクセス拒否に設定されているサードバケットポリシーを設定した場合、ユーザーはリソースへのアクセスを拒否されます。 読み取り専用 (ListObjectを除く) 、読み取り専用 (ListObjectを含む) 、読み取り /書き込み、およびフルアクセスの権限付与効果は許可、アクセス拒否の権限付与効果は拒否です。 高度な設定 このオプションを選択すると、次のパラメーターを設定します。 効果: [許可] または [拒否] を選択します。 操作: 許可または拒否するアクションを指定します。 アクションの種類の詳細については、「RAMポリシー」をご参照ください。	ユニット1〜3: 読み取り専用 (ListObjectを含む) ユニット4: 読み取り /書き込み ユニット5〜10: 読み取り /書き込み

   2. [送信] をクリックします。

      • OSSでは、アクセスポイントの作成に約10分かかります。

      • OSSは、アクセスポイントのエイリアスを自動的に作成します。 [アクセスポイント] ページでアクセスポイントのエイリアスを表示できます。

      • アクセスポイントのエイリアスを変更、削除、または無効にすることはできません。

   ポリシーステートメントを指定してアクセスポイントポリシーを追加する

   1. [アクセスポイントポリシー] ステップで、[アクセスポイントポリシー] の 構文で追加 を選択します。

   2. コードエディターで、次のポリシーを入力します。

      ユニット1 ~ 3のアクセスポイントポリシー

      {
          "Version"： "1"、
          "Statement": [{
              "Effect": "Allow",
              "Action": [    
                  "oss：GetObject"、    
                  "oss:GetObjectAcl" 、
                  "oss:ListObjects",
                  "oss:RestoreObject" 、
                  "oss:ListObjectVersions" 、
                  "oss:GetObjectVersion" 、
                  "oss:GetObjectVersionAcl" 、
                  "oss:RestoreObjectVersion"    
              ],    
              "プリンシパル": [    
                  "26571698800555 ****"    
              ],    
              "Resource": [    
                  "acs:oss:cn-hangzhou:137918634953 ****:accesspoint/ap-01/object/dir1/*"    
              ]    
          },{     
              "Effect": "Allow",    
              "Action": [    
                  "oss:ListObjects",
                  "oss:GetObject"    
              ],    
              "プリンシパル": [    
                  "26571698800555 ****"    
              ],    
              "Resource": [    
                  「acs:oss:cn-hangzhou:137918634953 ****: アクセスポイント /ap-01」    
          ],
              "Condition": {    
                  "StringLike": {    
                      "oss:Prefix": [            
                          "dir1/*"    
                      ]    
                  }    
              }    
            }    
          ]    
      }

      Unit 4のアクセスポイントポリシー

      {
          "Version"： "1"、
          "Statement": [{
              "Effect": "Allow",
              "Action": [    
                  "oss：GetObject"、
                  "OSS：のputObject"、    
                  "oss:GetObjectAcl" 、
                  "oss:PutObjectAcl" 、
                  "oss:ListObjects",
                  "OSS：AbortMultipartUpload"、
                  "oss:ListParts",
                  "oss:RestoreObject" 、
                  "oss:ListObjectVersions" 、
                  "oss:GetObjectVersion" 、
                  "oss:GetObjectVersionAcl" 、
                  "oss:RestoreObjectVersion"    
              ],    
              "プリンシパル": [    
                  "25770968794578 ****"    
              ],    
              "Resource": [    
                  "acs:oss:cn-hangzhou:137918634953 ****:accesspoint/ap-02/object/*"    
              ]    
          },{     
              "Effect": "Allow",    
              "Action": [    
                  "oss:ListObjects",
                  "oss:GetObject"    
              ],    
              "プリンシパル": [    
                  "25770968794578 ****"    
              ],    
              "Resource": [    
                  「acs:oss:cn-hangzhou:137918634953 ****: アクセスポイント /ap-02」    
          ],
              "Condition": {    
                  "StringLike": {    
                      "oss:Prefix": [            
                          "*"    
                      ]    
                  }    
              }    
            }    
          ]    
      }

      ユニット5 ~ 10のアクセスポイントポリシー

      {
          "Version"： "1"、
          "Statement": [{
              "Effect": "Allow",
              "Action": [    
                  "oss：GetObject"、
                  "OSS：のputObject"、    
                  "oss:GetObjectAcl" 、
                  "oss:PutObjectAcl" 、
                  "oss:ListObjects",
                  "OSS：AbortMultipartUpload"、
                  "oss:ListParts",
                  "oss:RestoreObject" 、
                  "oss:ListObjectVersions" 、
                  "oss:GetObjectVersion" 、
                  "oss:GetObjectVersionAcl" 、
                  "oss:RestoreObjectVersion"    
              ],    
              "プリンシパル": [    
                  "26806658794579 ****"    
              ],    
              "Resource": [    
                  "acs:oss:cn-hangzhou:137918634953 ****:accesspoint/ap-03/object/dir2/*"    
              ]    
          },{     
              "Effect": "Allow",    
              "Action": [    
                  "oss:ListObjects",
                  "oss:GetObject"    
              ],    
              "プリンシパル": [    
                  "26806658794579 ****"    
              ],    
              "Resource": [    
                  「acs:oss:cn-hangzhou:137918634953 ****: アクセスポイント /ap-03」    
          ],
              "Condition": {    
                  "StringLike": {    
                      "oss:Prefix": [            
                          "dir2/*"    
                      ]    
                  }    
              }    
            }    
          ]    
      }

   3. [送信] をクリックします。

      • OSSでは、アクセスポイントの作成に約10分かかります。

      • OSSは、アクセスポイントのエイリアスを自動的に作成します。 [アクセスポイント] ページでアクセスポイントのエイリアスを表示できます。

      • アクセスポイントのエイリアスを変更、削除、または無効にすることはできません。

3. バケットポリシーを使用して、アクセス制御をアクセスポイントに委任します。

   1. [アクセスポイント] ページで、作成したアクセスポイントの名前をクリックします。

   2. [構成管理] タブで、[アクセスポイントへのアクセス制御の委任] をクリックします。

   3. [アクセス制御をアクセスポイントに委任] パネルで、アクセス制御をアクセスポイントに委任するバケットポリシーを設定します。

      委任タイプ	説明	例
      oss:DataAccessPointArn	指定したアクセスポイントにアクセス制御権限を委任します。 委任後、指定されたアクセスポイントのみが有効になります。	oss:DataAccessPointAccount
      oss:AccessPointNetworkOrigin	インターネットのネットワークソースを持つアクセスポイントまたはVPCのネットワークソースを持つアクセスポイントにアクセス制御権限を委任します。 委任後、指定されたネットワークソースを持つアクセスポイントのみが有効になります。 説明 [インターネット] を選択した場合、インターネットおよびVPC経由でアクセスできるアクセスポイントにアクセス制御権限が委任されます。
      oss:DataAccessPointAccount	現在のAlibaba Cloudアカウントが所有するすべてのアクセスポイントにアクセス制御権限を委任します。 委任後、Alibaba Cloudアカウントが所有するすべてのアクセスポイントが有効になります。

   4. [ポリシーの生成] をクリックします。

ビジネスで高度なカスタマイズが必要な場合は、RESTful APIを直接呼び出すことができます。 APIを直接呼び出すには、コードに署名計算を含める必要があります。

• アクセスポイントを作成するために呼び出すAPI操作の詳細については、「CreateAccessPoint」をご参照ください。

• アクセスポイントポリシーを設定するために呼び出すことができるAPI操作の詳細については、「PutAccessPointPolicy」をご参照ください。

• バケットポリシーを使用してアクセスポイントに権限を委任するために呼び出すAPI操作の詳細については、「PutBucketPolicy」をご参照ください。