すべてのプロダクト
Search
ドキュメントセンター

:アクセス許可

最終更新日:Dec 19, 2023

このトピックでは、Security Token Service (STS) または署名付きURLによって提供される一時的なアクセス資格情報を使用して、Object Storage Service (OSS) リソースへの一時的なアクセスを許可する方法について説明します。

重要

STSの一時アクセス資格情報と署名付きURLに有効期間を指定する必要があります。 一時的なアクセス資格情報を使用して、オブジェクトのアップロードやダウンロードなどの操作を実行するために使用される署名付きURLを生成する場合、最小有効期間が優先されます。 たとえば、一時的なアクセス資格情報の有効期間を1,200秒に設定し、資格情報を使用して生成された署名付きURLの有効期間を3,600秒に設定できます。 この場合、STSの一時アクセス資格情報の有効期限が切れた後は、署名付きURLを使用してオブジェクトをアップロードすることはできません。

使用上の注意

  • このトピックでは、中国 (杭州) リージョンのパブリックエンドポイントを使用します。 OSSと同じリージョンにある他のAlibaba Cloudサービスを使用してOSSにアクセスする場合は、内部エンドポイントを使用します。 OSSでサポートされているリージョンとエンドポイントの詳細については、「リージョンとエンドポイント」をご参照ください。

  • このトピックでは、アクセス資格情報は環境変数から取得します。 アクセス資格情報の設定方法の詳細については、「アクセス資格情報の設定」をご参照ください。

  • このトピックでは、OSSエンドポイントを使用してOSSClientインスタンスを作成します。 カスタムドメイン名またはSTS (Security Token Service) を使用してOSSClientインスタンスを作成する場合は、「初期化」をご参照ください。

STS を使用した一時的アクセス許可

STSを使用して、OSSへの一時アクセスを許可できます。 STSは、ユーザーに一時的なアクセストークンを提供するwebサービスです。 STSを使用して、管理されているサードパーティのアプリケーションまたはRAMユーザーに、カスタムの有効期間とカスタムのアクセス許可を持つ一時的なアクセス資格情報を付与できます。 STSの詳細については、「STSの概要」をご参照ください。

STSには次の利点があります。

  • 一時的なアクセストークンを生成し、そのアクセストークンをサードパーティのアプリケーションに送信するだけで済みます。 サードパーティのアプリケーションにAccessKeyペアを提供する必要はありません。 トークンのアクセス権限と有効期間を指定できます。

  • トークンは、有効期間後に自動的に期限切れになります。 したがって、トークンのアクセス権限を手動で取り消す必要はありません。

STSが提供する一時的なアクセス資格情報を使用してOSSにアクセスするには、次の操作を実行します。

  1. 一時的なアクセス資格情報を取得します。

    一時的なアクセス資格情報は、AccessKeyペアとセキュリティトークンで構成されます。 AccessKeyペアは、AccessKey IDとAccessKeyシークレットで構成されます。 一時的なアクセス資格情報の最小有効期間は900秒です。 一時的なアクセス資格情報の最大有効期間は、現在のロールに指定されている最大セッション期間です。 詳細については、「RAMロールの最大セッション期間の指定」をご参照ください。

    次のいずれかの方法を使用して、一時的なアクセス資格情報を取得できます。

    • 方法1:

      AssumeRole操作を呼び出して、一時的なアクセス資格情報を取得します。

    • 方法2:

      STS SDKを使用して一時的なアクセス資格情報を取得します。 詳細については、「概要」をご参照ください。

  2. STSが提供する一時的なアクセス資格情報を使用してOSSにアクセスします。

    • STSから取得した一時的なアクセス資格情報を使用してオブジェクトをアップロードする

      パッケージメイン
      
      import (import (import)
          "fmt"
          "github.com/aliyun/aliyun-oss-go-sdk/oss"
          "os"
      )
      
      func main() {
          // 環境変数から一時的なアクセス資格情報を取得します。 サンプルコードを実行する前に、OSS_ACCESS_KEY_ID、OSS_ACCESS_KEY_SECRET、およびOSS_SESSION_TOKEN環境変数が設定されていることを確認してください。 
          provider, err := oss.NewEnvironmentVariableCredentialsProvider()
          if err! =nil {
              fmt.Println("Error:", err)
              os.Exit(-1)
          }
          // Create an OSSClient instance. 
          // バケットが配置されているリージョンのエンドポイントを指定します。 たとえば、バケットが中国 (杭州) リージョンにある場合、エンドポイントをhttps://oss-cn-hangzhou.aliyuncs.comに設定します。 実際のエンドポイントを指定します。 
          client, err := oss.New("yourEndpoint", ", " ", ", oss.SetCredentialsProvider(&provider))
          if err! =nil {
              fmt.Println("Error:", err)
              os.Exit(-1)
          }
          // バケットの名前を指定します。 例: examplebucket. 
          bucketName := "examplebucket"
          // オブジェクトのフルパスを指定します。 バケット名をフルパスに含めないでください。 例: exampledir/exampleobject.txt。 
          objectName := "exampledir/exampleobject.txt"
          // ローカルファイルのフルパスを指定します。 例: D :\\ localpath\\examplefile.txt。 
          filepath := "D :\\ localpath\\examplefile.txt"
          bucket,err := client.Bucket(bucketName)
          // STSから取得した一時的なアクセス資格情報を使用して、サードパーティのユーザーにオブジェクトをアップロードする権限を付与します。 
          err = bucket.PutObjectFromFile(objectName,filepath)
          if err! =nil {
              fmt.Println("Error:", err)
              os.Exit(-1)
          }
          fmt.Println (「アップロード成功」)
      } 
    • STSから取得した一時的なアクセス資格情報を使用してオブジェクトをダウンロードする

      パッケージメイン
      
      import (import (import)
          "fmt"
          "github.com/aliyun/aliyun-oss-go-sdk/oss"
          "os"
      )
      
      func main() {
          // 環境変数から一時的なアクセス資格情報を取得します。 サンプルコードを実行する前に、OSS_ACCESS_KEY_ID、OSS_ACCESS_KEY_SECRET、およびOSS_SESSION_TOKEN環境変数が設定されていることを確認してください。 
          provider, err := oss.NewEnvironmentVariableCredentialsProvider()
          if err! =nil {
              fmt.Println("Error:", err)
              os.Exit(-1)
          }
          // Create an OSSClient instance. 
          // バケットが配置されているリージョンのエンドポイントを指定します。 たとえば、バケットが中国 (杭州) リージョンにある場合、エンドポイントをhttps://oss-cn-hangzhou.aliyuncs.comに設定します。 実際のエンドポイントを指定します。 
          client, err := oss.New("yourEndpoint", ", " ", ", oss.SetCredentialsProvider(&provider))
          if err! =nil {
              fmt.Println("Error:", err)
              os.Exit(-1)
          }
          // バケットの名前を指定します。 例: examplebucket. 
          bucketName := "examplebucket"
          // オブジェクトのフルパスを指定します。 バケット名をフルパスに含めないでください。 例: exampledir/exampleobject.txt。 
          objectName := "exampledir/exampleobject.txt"
          // ローカルファイルのフルパスを指定します。 例: D :\\ localpath\\examplefile.txt。 
          filepath := "D :\\ localpath\\examplefile.txt"
          bucket,err := client.Bucket(bucketName)
          // STSから取得した一時的なアクセス資格情報を使用して、サードパーティのユーザーにオブジェクトをダウンロードする権限を付与します。 
          err = bucket.GetObjectToFile(objectName,filepath)
          if err! =nil {
              fmt.Println("Error:", err)
              os.Exit(-1)
          }
          fmt.Println (「ダウンロード成功」)
      } 

署名付きURLを使用して一時アクセスを許可する

署名付きURLを生成し、一時的なアクセスのためにサードパーティのユーザーにURLを提供できます。 署名付きURLを生成するときに、URLの有効期間を指定して、サードパーティユーザーがOSSリソースにアクセスできる期間を制限できます。

重要

次のサンプルコードを使用して生成された署名付きURLには、プラス記号 (+) が含まれる場合があります。 この場合、URLのプラス記号 (+) を % 2Bに置き換える必要があります。 そうでない場合、署名付きURLにアクセスできない可能性があります。

このセクションでは、署名付きURLを生成してOSSへの一時アクセスを許可する方法の例を示します。 署名付きURLを使用して一時アクセスを許可するために使用される完全なコードについては、GitHubをご覧ください。

署名付き URL を使用したオブジェクトのアップロード

  1. 署名付きURLを生成します。

    パッケージメイン
    
    import (import (import)
        "fmt"
        "os"
        「github.com/aliyun/aliyun-oss-go-sdk/oss」
    )
    
    func HandleError (エラーエラー) {
        fmt.Println("Error:", err)
        os.Exit(-1)
    }
    
    func main() {
    // 環境変数からアクセス資格情報を取得します。 サンプルコードを実行する前に、OSS_ACCESS_KEY_IDおよびOSS_ACCESS_KEY_SECRET環境変数が設定されていることを確認してください。 
    	provider, err := oss.NewEnvironmentVariableCredentialsProvider()
    if err! =nil {
    fmt.Println("Error:", err)
    os.Exit(-1)
    }
    // OSSClientインスタンスを作成します。 
    	// バケットが配置されているリージョンのエンドポイントを指定します。 たとえば、バケットが中国 (杭州) リージョンにある場合、エンドポイントをhttps://oss-cn-hangzhou.aliyuncs.comに設定します。 実際のエンドポイントを指定します。 
    	client, err := oss.New("yourEndpoint", ", " ", ", oss.SetCredentialsProvider(&provider))
    if err! =nil {
    fmt.Println("Error:", err)
    os.Exit(-1)
    }
        // バケットの名前を指定します。 例: examplebucket. 
        bucketName := "examplebucket"
        // オブジェクトのフルパスを指定します。 例: exampledir/exampleobject.txt。 バケット名をフルパスに含めないでください。 
        objectName := "exampledir/exampleobject.txt"
        bucket, err := client.Bucket(bucketName)
        if err! =nil {
            HandleError(err)
        }
        // オブジェクトをアップロードするための有効期間を指定した署名付きURLを生成します。 この例では、URLの有効期間は60秒です。 
        signedURL, err := bucket.SignURL(objectName, oss.HTTPPut, 60)
        if err! =nil {
            HandleError(err)
        }
    
        // カスタムパラメーターを含む署名付きURLを使用してブラウザーからオブジェクトにアクセスするには、URLに含まれるContentTypeパラメーターの値が、リクエストで指定されたContentTypeの値と同じであることを確認します。 
        options := []oss.Option{
            oss.Meta("myprop", "mypropval"),
            oss.ContentType("text/plain") 、
        }
        
        signedURL, err = bucket.SignURL(objectName, oss.HTTPPut, 60, options...)
        if err! =nil {
            HandleError(err)
        }
        fmt.Printf("Sign Url:% s\n", signedURL)
    } 
  2. 署名付きURLを使用してオブジェクトをアップロードします。

    Androidモバイルデバイス用のOSS SDKを参照できます。 詳細については、「署名付きURLを使用したオブジェクトのアップロード」をご参照ください。

署名付きURLを使用したマルチパートアップロードでのオブジェクトのアップロード

署名付きURLを使用して、サードパーティアプリケーションにマルチパートアップロードでラージオブジェクトのアップロードを許可する場合は、マルチパートアップロードタスクを開始し、各パートの署名付きURLを生成し、署名付きURLをサードパーティアプリケーションに提供する必要があります。 次に、サードパーティアプリケーションは、署名付きURLを使用して、オブジェクトのすべての部分をアップロードし、部分を結合することができます。

次のサンプルコードは、マルチパートアップロードで署名付きURLを生成し、署名付きURLを使用してオブジェクトをアップロードする方法の例を示しています。

パッケージメイン

import (import (import)
    "crypto/md5"
    "encoding/base64"
    "fmt"
    "github.com/aliyun/aliyun-oss-go-sdk/oss"
    「github.com/aliyun/aliyun-oss-go-sdk/sample」
    "io/ioutil"
    "os"
    "strconv"
)

func main() {
    // 環境変数からアクセス資格情報を取得します。 サンプルコードを実行する前に、OSS_ACCESS_KEY_IDおよびOSS_ACCESS_KEY_SECRET環境変数が設定されていることを確認してください。 
    provider, err := oss.NewEnvironmentVariableCredentialsProvider()
    if err! =nil {
        fmt.Println("Error:", err)
        os.Exit(-1)
    }
    // Create an OSSClient instance. 
    // バケットが配置されているリージョンのエンドポイントを指定します。 たとえば、バケットが中国 (杭州) リージョンにある場合、エンドポイントをhttps://oss-cn-hangzhou.aliyuncs.comに設定します。 実際のエンドポイントを指定します。 
    client, err := oss.New("yourEndpoint", ", " ", ", oss.SetCredentialsProvider(&provider))
    if err! =nil {
        fmt.Println("Error:", err)
        os.Exit(-1)
    }
    bucketName := "bucket_name"

    bucket,err := client.Bucket(bucketName)
    if err! =nil {
        fmt.Println("Error:", err)
        os.Exit(-1)
    }
    // オブジェクトのフルパスを指定します。 バケット名をフルパスに含めないでください。 
    objectName := "example.txt"
    // アップロードするローカルファイルのフルパスを指定します。 デフォルトでは、ローカルファイルのフルパスを指定しない場合、サンプルプログラムが属するプロジェクトのパスからローカルファイルがアップロードされます。 
    localFile := "D :\\ download\\demo.txt"

    // ローカルファイルを3つの部分に分割します。 
    chunks, err := oss.SplitFileByPartNum(localFile, 3)
    fd, err := os.Open(localFile)
    defer fd.Close()
    // ステップ1: マルチパートアップロードタスクを開始し、ストレージクラスを標準に設定します。 
    imur, err := bucket.InitiateMultipartUpload(objectName)
    // ステップ2: パーツをアップロードします。 
    var options []oss.Option

    for _, chunk := range chunks {
        // MD5暗号化を検証します。 
        // buf := make([]byte, chunk.Size)
        // fd.ReadAt(buf,chunk.Size)
        // sum := md5.Sum(buf)
        // b64 := base64.StdEncoding.EncodeToString(sum[:])
        // options = []oss. オプション {
        // oss.ContentMD5(b64) 、
        // }

        options = append(options, oss.AddParam("partNumber", strconv.Itoa(chunk.Number)))
        options = append(options, oss.AddParam("uploadId", imur.UploadID))
        // Generate the signed URL. 
        signedURL, err := bucket.SignURL(objectName, oss.HTTPPut, 60, オプション)
        if err! =nil {
            fmt.Println("Error:", err)
            os.Exit(-1)
        }
        fmt.Printf("Signed URL:% s\n", signedURL)
    }
    
    lsRes, err := bucket.ListUploadedParts(imur)
    if err! =nil {
        fmt.Println("Error:", err)
        os.Exit(-1)
    }

    // パーツをトラバースし、ETag値を入力します。 
    var parts []oss.UploadPart
    for _, p := range lsRes.UploadedParts {
        parts = append(parts, oss.UploadPart{XMLName: p.XMLName, PartNumber: p.PartNumber, ETag: p.ETag})
    }

    // ステップ3: マルチパートアップロードタスクを完了します。 
    _, err := bucket.CompleteMultipartUpload(imur, parts)
    if err! =nil {
        fmt.Println("Error:", err)
        os.Exit(-1)
    }
    fmt.Println("Uploaded")
} 

署名付き URL を使用してオブジェクトをダウンロード

  1. 署名付きURLを生成します。

    パッケージメイン
    
    import (import (import)
        "fmt"
        "github.com/aliyun/aliyun-oss-go-sdk/oss"
        "os"
    )
    
    func HandleError (エラーエラー) {
        fmt.Println("Error:", err)
        os.Exit(-1)
    }
    
    func main() {
        // 環境変数からアクセス資格情報を取得します。 サンプルコードを実行する前に、OSS_ACCESS_KEY_IDおよびOSS_ACCESS_KEY_SECRET環境変数が設定されていることを確認してください。 
        provider, err := oss.NewEnvironmentVariableCredentialsProvider()
        if err! =nil {
            fmt.Println("Error:", err)
            os.Exit(-1)
        }
        // Create an OSSClient instance. 
        // バケットが配置されているリージョンのエンドポイントを指定します。 たとえば、バケットが中国 (杭州) リージョンにある場合、エンドポイントをhttps://oss-cn-hangzhou.aliyuncs.comに設定します。 実際のエンドポイントを指定します。 
        client, err := oss.New("yourEndpoint", ", " ", ", oss.SetCredentialsProvider(&provider))
        if err! =nil {
            fmt.Println("Error:", err)
            os.Exit(-1)
        }
    
        // バケットの名前を指定します。 例: examplebucket. 
        bucketName := "examplebucket"
        // オブジェクトのフルパスを指定します。 例: exampledir/exampleobject.txt。 バケット名をフルパスに含めないでください。 
        objectName := "exampledir/exampleobject.txt"
        // ローカルコンピューターの指定されたパスにオブジェクトをダウンロードします。 指定されたパスに同じ名前のファイルがすでに存在する場合、ダウンロードされたオブジェクトはファイルを上書きします。 それ以外の場合、ダウンロードしたファイルはパスに保存されます。 
        bucket, err := client.Bucket(bucketName)
        if err! =nil {
            HandleError(err)
        }
    
        // オブジェクトをダウンロードするための有効期間を指定した署名付きURLを生成します。 この例では、URLの有効期間は60秒です。 
        signedURL, err := bucket.SignURL(objectName, oss.HTTPGet, 60)
        if err! =nil {
            HandleError(err)
        }
        fmt.Printf("Sign Url:% s\n", signedURL)
    } 
  2. 署名付きURLを使用してオブジェクトをダウンロードします。

    Androidモバイルデバイス用のOSS SDKを参照できます。 詳細については、「署名付きURLを使用したオブジェクトのダウンロード」をご参照ください。

VersionIdヘッダーを含む署名付きURLを生成する

次のサンプルコードは、VersionIdヘッダーを含む署名付きURLを生成する方法の例を示しています。

パッケージメイン

import (import (import)
"fmt"
「github.com/aliyun/aliyun-oss-go-sdk/oss」
"os"
)

func main() {
// 環境変数からアクセス資格情報を取得します。 サンプルコードを実行する前に、OSS_ACCESS_KEY_IDおよびOSS_ACCESS_KEY_SECRET環境変数が設定されていることを確認してください。 
	provider, err := oss.NewEnvironmentVariableCredentialsProvider()
if err! =nil {
fmt.Println("Error:", err)
os.Exit(-1)
}
// OSSClientインスタンスを作成します。 
	// バケットが配置されているリージョンのエンドポイントを指定します。 たとえば、バケットが中国 (杭州) リージョンにある場合、エンドポイントをhttps://oss-cn-hangzhou.aliyuncs.comに設定します。 実際のエンドポイントを指定します。 
	client, err := oss.New("yourEndpoint", ", " ", ", oss.SetCredentialsProvider(&provider))
if err! =nil {
fmt.Println("Error:", err)
os.Exit(-1)
}
// バケットの名前を指定します。 例: examplebucket. 
	bucketName := "examplebucket"
// オブジェクトのフルパスを指定します。 バケット名をフルパスに含めないでください。 例: exampledir/exampleobject.txt。 
	objectName := "exampledir/exampleobject.txt"
bucket, err := client.Bucket(bucketName)
if err! =nil {
fmt.Println("Error:", err)
os.Exit(-1)
}

// オブジェクトのバージョンIDを指定します。 
	// 指定された有効期間を持つ署名付きURLを生成します。 この例では、URLの有効期間は60秒です。 
	signedURL, err := bucket.SignURL(objectName, oss.HTTPGet, 60, oss.VersionId("CAEQEhiBgIDmgPf8mxgiIDA1YjZlNDIxY2ZmMzQ1MmU5MTM1Y2M4Yzk4 ******")))
if err! =nil {
fmt.Println("Error:", err)
os.Exit(-1)
}

fmt.Printf("Sign Url:% s\n", signedURL)
}