すべてのプロダクト
Search
ドキュメントセンター

Object Storage Service:概要

最終更新日:Dec 14, 2023

デフォルトでは、バケットやオブジェクトを含むObject Storage Service (OSS) リソースのアクセス制御リスト (ACL) は、データのセキュリティを確保するためにプライベートに設定されています。 リソースの所有者と許可されたユーザーのみがこれらのリソースにアクセスできます。 OSSでは、さまざまなポリシーを設定して、サードパーティのユーザーにOSSリソースへのアクセスまたは使用権限を付与できます。

次の表に、バケットに格納されているオブジェクトに対して設定できるアクセス制御ポリシーを示します。

パラメーター説明シナリオ
RAMポリシーResource Access Management (RAM) は、リソースへのアクセス許可を管理するためにAlibaba Cloudが提供するサービスです。 RAMポリシーは、ユーザーに基づいて構成された権限付与ポリシーです。 RAMポリシーを構成して、従業員、システム、アプリケーションなどのユーザーを管理し、リソースに対するユーザー権限を制御できます。 たとえば、ユーザーが1つのバケットのみを読み取ることができるようにRAMポリシーを設定できます。
  • 同じAlibaba CloudアカウントのRAMユーザーに同じ権限を付与します。
  • すべてのOSSリソースまたは複数のバケットへのアクセスに必要な権限を設定します。
  • 特定の操作を実行するために必要な権限を設定します。 たとえば、RAMポリシーを設定して、同じAlibaba Cloudアカウントに属するすべてのバケットを一覧表示するために必要な権限を指定できます。
  • OSSへのアクセスに使用される一時的なアクセス資格情報の権限を制限します。
バケットポリシーバケットポリシーは、リソースベースの権限付与ポリシーです。 RAMポリシーとは異なり、バケットポリシーはコンソールのGUIで簡単に構成できます。 さらに、バケットの所有者は、RAM権限なしでバケットのバケットポリシーを設定できます。 バケットポリシーを設定して、他のAlibaba CloudアカウントのRAMユーザー、または指定されたIPアドレスを使用してOSSにアクセスする匿名ユーザーに権限を付与できます。
  • 同じAlibaba CloudアカウントのRAMユーザーに異なる権限を付与します。
  • 他のAlibaba CloudアカウントのRAMユーザーまたは匿名ユーザーに権限を付与します。
バケットACLバケットを作成するとき、または作成したバケットのACLを変更するときに、バケットのACLを設定できます。 バケットのACLを設定または変更できるのは、バケットの所有者だけです。 バケットのACLは、public-read-writepublic-readprivateのいずれかの値に設定できます。 バケット内のすべてのオブジェクトに対して同じアクセス許可を設定します。
オブジェクトACLOSSに保存されている各オブジェクトのACLを設定することもできます。 オブジェクトをアップロードするとき、またはアップロードされたオブジェクトのACLを変更するときに、オブジェクトのACLを設定できます。 オブジェクトのACLは、defaultpublic-read-writepublic-readprivateのいずれかの値に設定できます。 1つのオブジェクトのアクセス権限を設定します。

たとえば、バケットのRAMポリシーまたはバケットポリシーを設定して、バケット内のすべてのオブジェクトまたは指定されたプレフィックスを含む名前のオブジェクトのACLをprivateに設定します。 この場合、バケット内のオブジェクトにインターネットからすべての匿名ユーザーがアクセスできるようにするには、オブジェクトのACLをpublic-readに設定します。