デフォルトでは、バケットやオブジェクトを含むObject Storage Service (OSS) リソースのアクセス制御リスト (ACL) は、データのセキュリティを確保するためにプライベートに設定されています。 リソースの所有者と許可されたユーザーのみがこれらのリソースにアクセスできます。 OSSでは、さまざまなポリシーを設定して、サードパーティのユーザーにOSSリソースへのアクセスまたは使用権限を付与できます。
次の表に、バケットに格納されているオブジェクトに対して設定できるアクセス制御ポリシーを示します。
パラメーター | 説明 | シナリオ |
Resource Access Management (RAM) は、リソースへのアクセス許可を管理するためにAlibaba Cloudが提供するサービスです。 RAMポリシーは、ユーザーに基づいて構成された権限付与ポリシーです。 RAMポリシーを構成して、従業員、システム、アプリケーションなどのユーザーを管理し、リソースに対するユーザー権限を制御できます。 たとえば、ユーザーが1つのバケットのみを読み取ることができるようにRAMポリシーを設定できます。 |
| |
バケットポリシーは、リソースベースの権限付与ポリシーです。 RAMポリシーとは異なり、バケットポリシーはコンソールのGUIで簡単に構成できます。 さらに、バケットの所有者は、RAM権限なしでバケットのバケットポリシーを設定できます。 バケットポリシーを設定して、他のAlibaba CloudアカウントのRAMユーザー、または指定されたIPアドレスを使用してOSSにアクセスする匿名ユーザーに権限を付与できます。 |
| |
バケットを作成するとき、または作成したバケットのACLを変更するときに、バケットのACLを設定できます。 バケットのACLを設定または変更できるのは、バケットの所有者だけです。 バケットのACLは、public-read-write、public-read、privateのいずれかの値に設定できます。 | バケット内のすべてのオブジェクトに対して同じアクセス許可を設定します。 | |
OSSに保存されている各オブジェクトのACLを設定することもできます。 オブジェクトをアップロードするとき、またはアップロードされたオブジェクトのACLを変更するときに、オブジェクトのACLを設定できます。 オブジェクトのACLは、default、public-read-write、public-read、privateのいずれかの値に設定できます。 | 1つのオブジェクトのアクセス権限を設定します。 たとえば、バケットのRAMポリシーまたはバケットポリシーを設定して、バケット内のすべてのオブジェクトまたは指定されたプレフィックスを含む名前のオブジェクトのACLをprivateに設定します。 この場合、バケット内のオブジェクトにインターネットからすべての匿名ユーザーがアクセスできるようにするには、オブジェクトのACLをpublic-readに設定します。 |
関連ドキュメント
バケットおよびオブジェクトのブロックパブリックアクセスを有効にする方法の詳細については、「ブロックパブリックアクセス」をご参照ください。
OSSの権限管理メカニズムの詳細については、「権限付与」をご参照ください。