Bucket Policy是OSS提供的一種針對儲存空間(Bucket)的授權策略,使您可以精細化地授權或限制有身份的訪問者(阿里雲帳號、RAM使用者、RAM角色)或匿名訪問者對指定OSS資源的訪問。例如,您可以為其他阿里雲帳號的RAM使用者授予指定OSS資源的唯讀許可權。
注意事項
在配置Bucket Policy之前,請確保您已瞭解該功能。詳情請參見Bucket Policy。
要設定Bucket Policy,您必須有
oss:PutBucketPolicy許可權;要擷取Bucket Policy,您必須有oss:GetBucketPolicy許可權;要刪除Bucket Policy,您必須有oss:DeleteBucketPolicy許可權。具體操作,請參見為RAM使用者授權自訂的權限原則。
設定Bucket Policy
以下代碼用於設定Bucket Policy:
const OSS = require('ali-oss')
const client = new OSS({
// yourregion填寫Bucket所在地區。以華東1(杭州)為例,Region填寫為oss-cn-hangzhou。
region: 'yourregion',
// 從環境變數中擷取訪問憑證。運行本程式碼範例之前,請確保已設定環境變數OSS_ACCESS_KEY_ID和OSS_ACCESS_KEY_SECRET。
accessKeyId: process.env.OSS_ACCESS_KEY_ID,
accessKeySecret: process.env.OSS_ACCESS_KEY_SECRET,
authorizationV4: true,
// 填寫儲存空間名稱,例如examplebucket。
bucket: 'examplebucket'
});
// 以下樣本用於資源擁有者(即UID為174649585760xxxx的Bucket Owner)通過Bucket Policy授權指定使用者(UID為20214760404935xxxx的RAM使用者)擁有列舉examplebucket下所有檔案的許可權。
const policy = {
Version: '1',
Statement: [
{
Action: ['oss:ListObjects', 'oss:GetObject'],
Effect: 'Allow',
Principal: ['20214760404935xxxx'],
Resource: ['acs:oss:*:174649585760xxxx:examplebucket']
}
]
};
async function putPolicy() {
const result = await client.putBucketPolicy('examplebucket', policy);
console.log(result)
}
putPolicy()擷取Bucket Policy
以下代碼用於擷取Bucket Policy資訊:
const OSS = require('ali-oss')
const client = new OSS({
// yourregion填寫Bucket所在地區。以華東1(杭州)為例,Region填寫為oss-cn-hangzhou。
region: 'yourregion',
// 從環境變數中擷取訪問憑證。運行本程式碼範例之前,請確保已設定環境變數OSS_ACCESS_KEY_ID和OSS_ACCESS_KEY_SECRET。
accessKeyId: process.env.OSS_ACCESS_KEY_ID,
accessKeySecret: process.env.OSS_ACCESS_KEY_SECRET,
authorizationV4: true,
// 填寫儲存空間名稱。
bucket: 'yourbucketname'
});
// 擷取Bucket Policy配置資訊。
async function getPolicy() {
const result = await client.getBucketPolicy('yourbucketname');
console.log(result.policy)
}
getPolicy()刪除Bucket Policy
以下代碼用於刪除Bucket Policy:
const OSS = require('ali-oss')
const client = new OSS({
// yourregion填寫Bucket所在地區。以華東1(杭州)為例,Region填寫為oss-cn-hangzhou。
region: 'yourregion',
// 從環境變數中擷取訪問憑證。運行本程式碼範例之前,請確保已設定環境變數OSS_ACCESS_KEY_ID和OSS_ACCESS_KEY_SECRET。
accessKeyId: process.env.OSS_ACCESS_KEY_ID,
accessKeySecret: process.env.OSS_ACCESS_KEY_SECRET,
authorizationV4: true,
// 填寫儲存空間名稱。
bucket: 'yourbucketname'
});
// 刪除Bucket Policy。
async function deletePolicy() {
const result = await client.deleteBucketPolicy('yourbucketname');
console.log(result)
}
deletePolicy()相關文檔
關於Bucket Policy的完整範例程式碼,請參見GitHub樣本。
關於設定Bucket Policy的API介面說明,請參見PutBucketPolicy。
關於擷取Bucket Policy的API介面說明,請參見GetBucketPolicy。
關於刪除Bucket Policy的API介面說明,請參見DeleteBucketPolicy。