認証情報を提供するためにHTTP Authorizationヘッダーを使用することに加えて、リクエスト全体をURLで表現する場合に、クエリ文字列パラメーターを使用してリクエストを認証できます。 これにより、アクセス資格情報を公開することなく、指定されたObject Storage Service (OSS) リソースに対する一時的なアクセス権限をユーザーに付与できます。 このトピックでは、署名V1を使用して署名付きURLを作成する方法について説明します。
より良いセキュリティを提供するV4署名アルゴリズムを使用することを推奨します。 詳細については、「URLにV4署名を含める (推奨) 」をご参照ください。
OSS SDKを使用したV1シグネチャの自動実装
OSS SDKには、OSS署名V1の実装が含まれています。 OSS SDKを使用する場合、署名を使用するために追加の操作を実行する必要はありません。 特定のプログラミング言語の署名実装の詳細については、そのプログラミング言語のOSS SDKのコードをご参照ください。 次の表に、さまざまなプログラミング言語のOSS SDKを使用して開始されたリクエストに署名するために使用されるサンプルコードへの参照を示します。
SDK | サンプルコード | 例 |
Java | ||
PHP | ||
Node.js | ||
Browser.js | ||
Python | ||
Android | ||
iOS | ||
Go | ||
C++ | ||
C | ||
. ネット | ||
Ruby |
使用上の注意
署名付きURLを使用してデータを共有する場合、URLの有効期間内にURLを持つすべてのインターネットユーザーがデータにアクセスできます。 事前にデータリスクを評価することを推奨します。
OSSでは、特定のリソースのURLとリソースのリクエストの許可ヘッダーに同時に署名を含めることはできません。
PUTリクエストの署名付きURLを生成して、アップロードするコンテンツが有効かどうかを確認できます。 OSS SDKを使用してリクエストの署名付きURLを生成する場合、OSS SDKはリクエスト本文のMD5ハッシュを計算し、署名付きURLにMD5ハッシュを含めます。 アップロードされたコンテンツのMD5ハッシュは、OSS SDKによって計算されたMD5ハッシュと同じである必要があります。 そうでない場合、PUTリクエストは失敗します。 アップロードされたコンテンツのMD5ハッシュを確認するには、Content-MD5ヘッダーをリクエストに追加します。
実装方法
署名の例
https://examplebucket.oss-cn-hangzhou.aliyuncs.com/oss-api.pdf?OSSAccessKeyId=nz2pc56s936 ****&期限切れ=1141889120&署名=vjbyPxybdZaNmGa % 2ByT272YEAiv ****
Security Token Service (STS) から取得した一時的なアクセス資格情報を使用して署名付きURLを生成する場合は、URLに
security-token
パラメーターを含める必要があります。https://examplebucket.oss-cn-hangzhou.aliyuncs.com/oss-api.pdf?OSSAccessKeyId=nz2pc56s936 ****&Expires=1141889120&Signature=vjbyPxybdZaNmGa % 2ByT272YEAiv ****&security-token=CAISowJ1q6Ft5B2yfSjIr5bgIOz31blR9oWmWBfCs3kDR /Q0lGFR5/sflqJIRoReREvCUcZr8szfWcsZos2T1fau5Jko1be0ewHKeQKZsebWZ + LmNpy /Ht6md1HDkAJAJq3LL + bk /Mdle5M*MJqP +/kFC9MMRVuAcCZhDtVbLRcYgq18D3bKMuu3ORPHm3fZCFES2jBxkmRi86 + ysIP + phlw /90fRH5dazcJW0Zsx0OJo6Wcq + 63pJhq3Blahu /3 + + 2kagAGaXG69BqwYNvrKKI3W8weP3bNc1wQDMXQfiHpFCRG6lYhh3iXFtpwH90A3sTlxzRGvi8
IPアドレス、CIDRブロック、または仮想プライベートクラウド (VPC) IDを署名付きURLに追加して、権限のない端末が共有OSSリソースにアクセスするのを防ぐことができます。
https://examplebucket.oss-cn-hangzhou.aliyuncs.com/oss-api.pdf?&OSSAccessKeyId=44CF9590006BF252F707&Expires=1475462111&Signature=OjxkTUbT6rXCZcW8QhvlrXQr8vsP80EFdo6oG5qsBx ****&x-oss-ac-subnet-mask=32
次の表に、上記のURLのクエリ文字列パラメーターを示します。
パラメーター
データ型
必須
説明
OSSAccessKeyId
String
必須
署名付きURLで使用されるAccessKey ID。
有効期限
Numeric
可
署名付きURLの有効期限が切れる時刻。 タイムスタンプはUNIXの時刻形式に従います。 1970年1月1日木曜日00:00:00から経過した秒数です。 OSSがURLを含むリクエストを受信した時刻がこのパラメーターの値より遅い場合、リクエストタイムアウトエラーが返されます。 たとえば、現在の時刻が1141889060で、60秒間有効なURLを作成する場合は、このパラメーターを1141889120に設定する必要があります。
説明セキュリティ上の理由から、OSSコンソールで生成されるURLのデフォルトの有効期間は3,600秒、最大有効期間は32,400秒です。 URLの有効期間を変更する方法の詳細については、「オブジェクトURLの使用」をご参照ください。
Signature
String
必須
URLに追加する署名情報。 署名情報は次の形式で提供する必要があります。
署名=urlencode(base64) (hmac-sha1(AccessKeySecret、 VERB + "\n" + CONTENT-MD5 + "\ n" +コンテンツタイプ+ "\ n" + EXPIRES + "\n" + CanonicalizedOSSHeaders + CanonicalizedResource)
OSSでは、URLに追加された署名の計算に使用されるアルゴリズムは、リクエストのAuthorizationヘッダーに追加された署名の計算に使用されるアルゴリズムと同様です。
URLに追加する署名文字列を計算する場合、
CONTENT-TYPE
、CONTENT-MD5
、CanonicalizedOSSHeaders
などの署名V1で定義されているヘッダーは、Authorizationヘッダーに追加する署名の計算に使用されるヘッダーと同じです。 ただし、署名文字列のDateヘッダーをExpireに置き換える必要があります。 リクエストにDateヘッダーを含めることはできますが、署名文字列に含める必要はありません。URLに署名を追加するときは、URLをエンコードする必要があります。 Signature、Expires、またはOSSAccessKeyIdの値を複数回指定すると、最初の値が使用されます。
署名付きURLを使用してリソースをリクエストする場合、OSSはまずリクエストが受信された時刻がExpiresの値より後であるかどうかをチェックし、署名を検証します。
security-token
String
任意
STSから取得されるセキュリティトークン。 一時的なアクセス資格情報を使用してURLに署名する場合にのみ、このパラメーターを設定する必要があります。
説明STSの設定方法の詳細については、「STSが提供する一時的な資格情報を使用してOSSにアクセスする」をご参照ください。 AssumeRole操作を呼び出すか、さまざまなプログラミング言語のSTS SDKを使用して、一時的なアクセス資格情報を取得できます。 一時的なアクセス資格情報には、セキュリティトークンと一時的なAccessKeyペアが含まれます。 AccessKey ペアは、AccessKey ID と AccessKey Secret で構成されます。
x-oss-ac-source-ip
String
任意
IPアドレスまたはCIDRブロック。
重要このパラメーターは、署名が生成されるときにのみ使用されます。 このパラメーターをURLに含める必要はありません。
このパラメーターは、サブネットマスクを指定するx-oss-ac-subnet-maskと共に使用する必要があります。
x-oss-ac-subnet-mask
Numeric
任意
サブネットマスクの数字1の数。 このパラメーターが署名付きURLに含まれている場合、OSSはリクエストの送信元のIPアドレスとサブネットマスクに基づいてAND演算を実行します。 操作の結果は、URLの署名を検証するために使用される。 このパラメーターが改ざんされている場合、署名の検証は失敗します。
x-oss-ac-vpc-id
String
任意
VPC ID このパラメーターは、リクエストが指定されたVPC経由で送信されるかどうかを判断するために使用されます。 リクエストが指定されたVPC経由で送信された場合、OSSはリクエストの送信元であるVPC IDとIPアドレスまたはCIDRブロックを検証します。
x-oss-ac-forward-allow
ブール値
任意
リクエスト転送を許可するかどうかを指定します。 デフォルト値:false OSSがこのフィールドを検出し、リクエストに
X-Forwarded-For
(複数のIPアドレスを含む可能性があります) が含まれている場合、OSSは署名検証にX-Forwarded-For
の値を使用します。有効な値:
true
重要パラメーターをtrueに設定すると、リクエストヘッダーが改ざんされる可能性があります。
false
署名用のPythonサンプルコード (必要なパラメーターのみを含む)
インポートbase64 hmacのインポート hashlibのインポート urllibのインポート h = hmac.new("accesskey" 、 "GET\n\n\n1141889120\n/examplebucket/oss-api.pdf" 、 hashlib.sha1) urllib.quote (base64.encodesring (h.digest()).strip())
エラーコード
エラーコード | エラーメッセージ | 説明 |
AccessDenied | 403 Forbidden | Signature、Expires、およびOSSAccessKeyIdパラメーターが必要です。 パラメータは、特定の順序に従う必要はない。 |
AccessDenied | 403 Forbidden | リクエストのアクセス時刻が、リクエストで指定されたExpiresパラメーターの値よりも遅いか、リクエストの時刻形式が無効です。 |
InvalidArgument | 400 Bad Request | Signature、Expires、およびOSSAccessKeyIdパラメーターの少なくとも1つがURLに含まれ、署名情報もAuthorizationリクエストヘッダーに含まれます。 |