デフォルトでは、データセキュリティを確保するために、バケットやオブジェクトなどの Object Storage Service (OSS) リソースのアクセス制御リスト (ACL) は非公開に設定されています。リソースの所有者と承認されたユーザーのみが、これらのリソースにアクセスできます。OSS では、さまざまなポリシーを設定して、サードパーティユーザーに OSS リソースへのアクセスまたは使用に関する特定の権限を付与できます。
次の表は、バケットに格納されているオブジェクトに対して設定できるアクセス制御ポリシーについて説明しています。
パラメータ | 説明 | シナリオ |
Resource Access Management (RAM) は、リソースへのアクセス権限を管理するために Alibaba Cloud によって提供されるサービスです。RAM ポリシーは、ユーザーに基づいて設定される権限付与ポリシーです。RAM ポリシーを設定して、従業員、システム、アプリケーションなどのユーザーを管理し、リソースに対するユーザー権限を制御できます。たとえば、RAM ポリシーを設定して、ユーザーが 1 つのバケットのみを読み取れるようにすることができます。 | 現在の Alibaba Cloud アカウント内の RAM ユーザー、RAM ユーザーグループ、または RAM ロールに権限を付与します。 | |
バケットポリシーは、リソースベースの権限付与ポリシーです。RAM ポリシーとは異なり、バケットポリシーはコンソールの GUI で簡単に設定できます。さらに、バケットの所有者は、RAM 権限なしでバケットのバケットポリシーを設定できます。バケットポリシーを設定して、他の Alibaba Cloud アカウントの RAM ユーザー、または指定された IP アドレスを使用して OSS にアクセスする匿名ユーザーに権限を付与できます。 |
| |
バケットの作成時にバケットの ACL を設定したり、作成済みバケットの ACL を変更したりできます。バケットの所有者のみが、バケットの ACL を設定または変更できます。バケットの ACL は、公開読み書き、公開読み取り、非公開 のいずれかの値に設定できます。 | バケット内のすべてのオブジェクトに同じ ACL 権限を設定します。 | |
OSS に格納されている各オブジェクトの ACL を設定することもできます。オブジェクトのアップロード時にオブジェクトの ACL を設定したり、アップロード済みオブジェクトの ACL を変更したりできます。オブジェクトの ACL は、デフォルト、公開読み書き、公開読み取り、非公開 のいずれかの値に設定できます。 | 単一または複数のオブジェクトの ACL 権限をそれぞれ設定します。 たとえば、バケットの RAM ポリシーまたはバケットポリシーを設定して、バケット内のすべてのオブジェクト、または名前に指定されたプレフィックスが含まれるオブジェクトの ACL を非公開に設定します。この場合、バケット内のオブジェクトにインターネット上のすべての匿名ユーザーがアクセスできるようにするには、オブジェクトの ACL を 公開読み取り に設定します。 | |
バケットポリシーと ACL を設定することで、OSS リソースへのパブリックアクセスを許可できます。パブリックアクセスは、特定の権限または認証なしで OSS リソースにアクセスすることを指定します。パブリックアクセスは、データ侵害を引き起こし、悪意のあるアクセスによってインターネット上で大量のアウトバウンドトラフィックを生成する可能性があります。OSS では、パブリックアクセスをブロックを有効にして、発生する可能性のあるリスクを防ぐことができます。この機能を有効にすると、既存のパブリックアクセス権限は無視され、パブリックアクセス権限を付与できなくなります。これにより、パブリックアクセスチャネルが無効になり、データセキュリティが確保されます。 |
|
RAM ポリシー、ACL、バケットポリシーなど、複数のアクセス制御ポリシーがバケットに設定されている場合の OSS の認証プロセスの詳細については、「権限付与」をご参照ください。