すべてのプロダクト
Search
ドキュメントセンター

Object Storage Service:OSSへのユーザーアクセスを許可するRAMポリシーの設定

最終更新日:Mar 06, 2024

RAM (Resource Access Management) ポリシーは、ユーザーベースの権限付与ポリシーです。 RAMポリシーを設定して、OSS (Object Storage Service) のリソースへのユーザーアクセスを管理できます。

背景情報

  • RAMポリシーの構文と構造

    RAMポリシーには、バージョン番号とステートメントのリストが含まれます。 各ステートメントには、Effect、Action、Resource、およびConditionの要素が含まれています。 Condition要素はオプションです。 RAMポリシーの構文と構造の詳細については、「ポリシー構造と構文」をご参照ください。

    RAMのポリシーで要素を使用するのと同じ方法で、OSSのRAMポリシーでVersion、Statement、およびEffect要素を使用できます。OSSのRAMポリシーでAction、Resource、Condition要素を使用する方法の詳細については、このトピックの以下のセクションを参照してください。

  • OSSの一般的なRAMポリシー

    • AliyunOSSFullAccess: RAMユーザーにOSSリソースに対する完全な権限を付与します。

    • AliyunOSSReadOnlyAccess: RAMユーザーにOSSリソースに対する読み取り専用権限を付与します。

  • アクセス制御

    OSSでサポートされているアクセス制御方法の詳細については、「概要」をご参照ください。

OSSのRAMポリシーのアクション要素

OSSのRAMポリシーは、サービスレベル、バケットレベル、およびオブジェクトレベルの操作をサポートしています。

  • サービスレベル操作

    API

    Action

    説明

    ListBuckets (GetService)

    oss:ListBuckets

    リクエスタが所有するすべてのバケットを一覧表示します。

    ListUserDataRedundancyTransition

    oss:ListUserDataRedundancyTransition

    リクエスタのすべての冗長タイプ変更タスクを一覧表示します。

    N/A

    oss:ActivateProduct

    OSSを有効にし、コンテンツリスク検出を有効にします。

    N/A

    oss:CreateOrder

    OSSリソースプランの注文.

  • バケットレベルの操作

    API

    Action

    説明

    PutBucket

    oss:PutBucket

    バケットを作成します。

    ListObjects (GetBucket)

    oss:ListObjects

    バケット内のすべてのオブジェクトを一覧表示します。

    GetBucketInfo

    oss:GetBucketInfo

    バケットに関する情報をクエリします。

    GetBucketLocation

    oss:GetBucketLocation

    バケットの位置情報を照会します。

    PutBucketVersioning

    oss:PutBucketVersioning

    バケットのバージョン管理状態を設定します。

    GetBucketVersioning

    oss:GetBucketVersioning

    バケットのバージョン管理状態を照会します。

    ListObjectVersions (GetBucketVersions)

    oss:ListObjectVersions

    削除マーカーを含む、バケット内のすべてのオブジェクトのバージョンを一覧表示します。

    PutBucketAcl

    oss:PutBucketAcl

    バケットのアクセス制御リスト (ACL) を設定または変更します。

    GetBucketAcl

    oss:GetBucketAcl

    バケットの ACL をクエリします。

    DeleteBucket

    oss:DeleteBucket

    バケットを削除します。

    BucketWormを開始

    oss:InitiateBucketWorm

    保持ポリシーを作成します。

    AbortBucketWorm

    oss:AbortBucketWorm

    ロック解除された保持ポリシーを削除します。

    CompleteBucketWorm

    oss:CompleteBucketWorm

    保持ポリシーをロックします。

    ExtendBucketWorm

    oss:ExtendBucketWorm

    保持ポリシーがロックされているバケット内のオブジェクトの保持期間 (日数) を延長します。

    GetBucketWorm

    oss:GetBucketWorm

    バケットの保持ポリシーをクエリします。

    PutBucketLogging

    oss:PutBucketLogging

    バケットのロギングを有効化します。

    GetBucketLogging

    oss:GetBucketLogging

    バケットのロギング設定をクエリします。

    DeleteBucketLogging

    oss:DeleteBucketLogging

    バケットのロギングを無効化します。

    PutBucketWebサイト

    oss:PutBucketWebsite

    バケットの静的 Web サイトホスティングを有効化し、バケットのリダイレクションルールを設定します。

    GetBucketWebsite

    oss:GetBucketWebsite

    バケットの静的Webサイトホスティングステータスとバケットのリダイレクションルールを照会します。

    DeleteBucketWebsite

    oss:DeleteBucketWebsite

    バケットの静的 Web サイトホスティングを無効化し、バケットのリダイレクションルールを削除します。

    PutBucketReferer

    oss:PutBucketReferer

    バケットのホットリンク保護を設定します。

    GetBucketReferer

    oss:GetBucketReferer

    バケットのホットリンク保護構成を照会します。

    PutBucketLifecycle

    oss:PutBucketLifecycle

    バケットのライフサイクルルールを設定します。

    GetBucketLifecycle

    oss:GetBucketLifecycle

    バケットのライフサイクルルールをクエリします。

    DeleteBucketLifecycle

    oss:DeleteBucketLifecycle

    バケットのライフサイクルルールを削除します。

    PutBucketTransferAcceleration

    oss:PutBucketTransferAcceleration

    バケットの転送アクセラレーションを設定します。

    GetBucketTransferAcceleration

    oss:GetBucketTransferAcceleration

    バケットの転送アクセラレーション設定を照会します。

    ListMultipartUploads

    oss:ListMultipartUploads

    開始されたが完了またはキャンセルされていないタスクを含む、進行中のすべてのマルチパートアップロードタスクを一覧表示します。

    PutBucketCors

    oss:PutBucketCors

    バケットのクロスオリジンリソース共有 (CORS) ルールを設定します。

    GetBucketCors

    oss:GetBucketCors

    バケットの CORS ルールをクエリします。

    DeleteBucketCors

    oss:DeleteBucketCors

    CORSを無効にし、バケットのすべてのCORSルールを削除します。

    PutBucketPolicy

    oss:PutBucketPolicy

    バケットのバケットポリシーを設定します。

    GetBucketPolicy

    oss:GetBucketPolicy

    バケットのポリシーを照会します。

    DeleteBucketPolicy

    oss:DeleteBucketPolicy

    バケットのポリシーを削除します。

    PutBucketTags

    oss:PutBucketTagging

    バケットにタグを追加、またはバケットのタグを変更します。

    GetBucketTags

    oss:GetBucketTagging

    バケットのタグをクエリします。

    DeleteBucketTags

    oss:DeleteBucketTagging

    バケットのタグを削除します。

    PutBucketEncryption

    oss:PutBucketEncryption

    バケットの暗号化ルールを設定します。

    GetBucketEncryption

    oss:GetBucketEncryption

    バケットの暗号化ルールを照会します。

    DeleteBucketEncryption

    oss:DeleteBucketEncryption

    バケットの暗号化ルールを削除します。

    PutBucketRequestPayment

    oss:PutBucketRequestPayment

    バケットに対してリクエスト元課金を有効化します。

    GetBucketRequestPayment

    oss:GetBucketRequestPayment

    バケットのpay-by-requester設定を照会します。

    PutBucketReplication

    oss:PutBucketReplication

    バケットのデータレプリケーションルールを設定します。

    PutBucketRTC

    oss:PutBucketRTC

    既存のクロスリージョンレプリケーション (CRR) ルールのレプリケーション時間制御 (RTC) を有効または無効にします。

    GetBucketReplication

    oss:GetBucketReplication

    バケットのデータレプリケーションルールをクエリします。

    DeleteBucketReplication

    oss:DeleteBucketReplication

    バケットのデータ複製タスクを停止し、バケットのデータ複製設定を削除します。

    GetBucketReplicationLocation

    oss:GetBucketReplicationLocation

    宛先バケットを配置できるリージョンを照会します。

    GetBucketReplicationProgress

    oss:GetBucketReplicationProgress

    バケットのデータ複製タスクの進行状況を照会します。

    PutBucketInventory

    oss:PutBucketInventory

    バケットのインベントリを設定します。

    GetBucketInventory

    oss:GetBucketInventory

    バケットの特定のインベントリを照会します。

    ListBucketInventory

    oss:GetBucketInventory

    バケットのすべてのインベントリをクエリします。

    DeleteBucketInventory

    oss:DeleteBucketInventory

    バケットの特定のインベントリを削除します。

    PutBucketAccessMonitor

    oss:PutBucketAccessMonitor

    バケットのアクセス追跡ステータスを設定します。

    GetBucketAccessMonitor

    oss:GetBucketAccessMonitor

    バケットのアクセス追跡ステータスを照会します。

    OpenMetaQuery

    oss:OpenMetaQuery

    バケットのメタデータ管理を有効にします。

    GetMetaQueryStatus

    oss:GetMetaQueryStatus

    バケットのメタデータインデックスライブラリを照会します。

    DoMetaQuery

    oss:DoMetaQuery

    特定の条件を満たすオブジェクトを照会し、特定のフィールドとソート方法に基づいてオブジェクト情報を一覧表示します。

    CloseMetaQuery

    oss:CloseMetaQuery

    バケットのメタデータ管理を無効にします。

    InitUserAntiDDosInfo

    oss:InitUserAntiDDosInfo

    Anti-DDoSインスタンスを作成します。

    UpdateUserAntiDDosInfo

    oss:UpdateUserAntiDDosInfo

    Anti-DDoSインスタンスのステータスを変更します。

    GetUserAntiDDosInfo

    oss:GetUserAntiDDosInfo

    Alibaba Cloudアカウントに属するAnti-DDoSインスタンスに関する情報を照会します。

    InitBucketAntiDDosInfo

    oss:InitBucketAntiDDosInfo

    バケットのAnti-DDoSインスタンスを初期化します。

    UpdateBucketAntiDDosInfo

    oss:UpdateBucketAntiDDosInfo

    バケットのAnti-DDoSインスタンスのステータスを更新します。

    ListBucketAntiDDosInfo

    oss:ListBucketAntiDDosInfo

    バケットのAnti-DDoSインスタンスの保護リストを照会します。

    PutBucketResourceGroup

    oss:PutBucketResourceGroup

    バケットが属するリソースグループを設定します。

    GetBucketResourceGroup

    oss:GetBucketResourceGroup

    バケットが属するリソースグループのIDを照会します。

    CreateCnameToken

    oss:CreateCnameToken

    ドメイン名の所有権を検証するために使用されるCNAMEトークンを作成します。

    GetCnameToken

    oss:GetCnameToken

    既存のCNAMEトークンを照会します。

    PutCname

    oss:PutCname

    カスタムドメイン名をバケットにマップします。

    ListCname

    oss:ListCname

    バケットにマップされているすべてのカスタムドメイン名を照会します。

    DeleteCname

    oss:DeleteCname

    カスタムドメイン名をバケットにマッピングするCNAMEレコードを削除します。

    PutStyle

    oss:PutStyle

    画像スタイルを設定します。

    GetStyle

    oss:GetStyle

    画像スタイルを照会します。

    リストスタイル

    oss:ListStyle

    画像スタイルを一覧表示します。

    DeleteStyle

    oss:DeleteStyle

    画像スタイルを削除します。

    PutBucketArchiveDirectRead

    oss:PutBucketArchiveDirectRead

    バケットのアーカイブオブジェクトのリアルタイムアクセスを有効または無効にします。

    GetBucketArchiveDirectRead

    oss:GetBucketArchiveDirectRead

    バケットに対してアーカイブオブジェクトのリアルタイムアクセスが有効になっているかどうかを照会します。

    CreateAccessPoint

    oss:CreateAccessPoint

    アクセスポイントを作成します。

    GetAccessPoint

    oss:GetAccessPoint

    アクセスポイントに関する情報を照会します。

    DeleteAccessPoint

    oss:DeleteAccessPoint

    アクセスポイントを削除します。

    ListAccessPoints

    oss:ListAccessPoints

    ユーザーレベルまたはバケットレベルのアクセスポイントを照会します。

    PutAccessPointPolicy

    oss:PutAccessPointPolicy

    アクセスポイントポリシーを設定します。

    GetAccessPointPolicy

    oss:GetAccessPointPolicy

    アクセスポイントポリシーに関する情報を照会します。

    DeleteAccessPointPolicy

    oss:DeleteAccessPointPolicy

    アクセスポイントポリシーを削除します。

    PutBucketHttpsConfig

    oss:PutBucketHttpsConfig

    バケットのTransport Layer Security (TLS) バージョン管理を有効または無効にします。

    GetBucketHttpsConfig

    oss:GetBucketHttpsConfig

    バケットのTLSバージョン設定を照会します。

    N/A

    oss:ReplicateList

    ソースバケット内の履歴データを一覧表示し、履歴データを宛先バケットにレプリケートします。

    CreateAccessPointForObjectProcess

    oss:CreateAccessPointForObjectProcess

    オブジェクトFCアクセスポイントを作成します。

    GetAccessPointForObjectProcess

    oss:GetAccessPointForObjectProcess

    オブジェクトFCアクセスポイントに関する基本情報を照会します。

    DeleteAccessPointForObjectProcess

    oss:DeleteAccessPointForObjectProcess

    オブジェクトFCアクセスポイントを削除します。

    ListAccessPointsForObjectProcess

    oss:ListAccessPointsForObjectProcess

    ユーザーレベルのObject FCアクセスポイントに関する情報を照会します。

    PutAccessPointConfigForObjectProcess

    oss:PutAccessPointConfigForObjectProcess

    オブジェクトFCアクセスポイントの設定を変更します。

    GetAccessPointConfigForObjectProcess

    oss:GetAccessPointConfigForObjectProcess

    オブジェクトFCアクセスポイントの設定を照会します。

    PutAccessPointPolicyForObjectProcess

    oss:PutAccessPointPolicyForObjectProcess

    オブジェクトFCアクセスポイントの権限ポリシーを設定します。

    GetAccessPointPolicyForObjectProcess

    oss:GetAccessPointPolicyForObjectProcess

    オブジェクトFCアクセスポイントの権限ポリシーを照会します。

    DeleteAccessPointPolicyForObjectProcess

    oss:DeleteAccessPointPolicyForObjectProcess

    オブジェクトFCアクセスポイントの権限ポリシーを削除します。

    WriteGetObjectResponse

    oss:WriteGetObjectResponse

    GetObjectリクエストの戻りデータと応答ヘッダーを指定します。

    CreateBucketDataRedundancyTransition

    oss:CreateBucketDataRedundancyTransition

    バケットの冗長型変換タスクを作成します。

    GetBucketDataRedundancyTransition

    oss:GetBucketDataRedundancyTransition

    バケットの冗長型変換タスクを照会します。

    DeleteBucketDataRedundancyTransition

    oss:DeleteBucketDataRedundancyTransition

    バケットの冗長型変換タスクを削除します。

    ListBucketDataRedundancyTransition

    oss:ListBucketDataRedundancyTransition

    バケット内のすべての冗長型変換タスクを一覧表示します。

  • オブジェクトレベルの操作

    説明

    オブジェクトのアップロード時にオブジェクトタグが設定されている場合は、oss:PutObjectおよびoss:PutObjectTagging権限が必要です。

    API

    Action

    説明

    PutObject

    oss:PutObject

    オブジェクトをアップロードします。

    PostObject

    oss:PutObject

    HTMLフォームを使用してオブジェクトをバケットにアップロードします。

    AppendObject

    oss:PutObject

    追加アップロードを使用してオブジェクトをアップロードします。

    InitiateMultipartUpload

    oss:PutObject

    マルチパートアップロードタスクを開始します。

    UploadPart

    oss:PutObject

    オブジェクト名とアップロードIDに基づいて、オブジェクトをパーツごとにアップロードします。

    CompleteMultipartUpload

    oss:PutObject

    オブジェクトのすべてのパーツがアップロードされた後、オブジェクトのマルチパートアップロードタスクを完了します。

    AbortMultipartUpload

    oss:AbortMultipartUpload

    マルチパートアップロードタスクをキャンセルし、アップロードしたパーツを削除します。

    PutSymlink

    oss:PutObject

    オブジェクトのシンボリックリンクを作成します。

    GetObject

    oss:GetObject

    オブジェクトを照会します。

    HeadObject

    oss:GetObject

    オブジェクトメタデータを照会します。

    GetObjectMeta

    oss:GetObject

    ETag、オブジェクトサイズ、最終変更時刻など、オブジェクトのメタデータを照会します。

    SelectObject

    oss:GetObject

    オブジェクトに対してSQL文を実行し、実行結果を照会します。

    GetSymlink

    oss:GetObject

    オブジェクトのシンボリックリンクを照会します。

    DeleteObject

    oss:DeleteObject

    オブジェクトを削除します。

    DeleteMultipleObjects

    oss:DeleteObject

    一度にバケットから複数のオブジェクトを削除します。

    CopyObject

    oss:GetObject,oss:PutObject

    オブジェクトを同じバケットまたは同じリージョン内の別のバケットにコピーします。

    UploadPartCopy

    oss:GetObject,oss:PutObject

    x-oss-copy-sourceヘッダーをUploadPartリクエストに追加して、既存のオブジェクトからデータをコピーしてパーツをアップロードします。

    リストパーツ

    oss:ListParts

    アップロードIDを使用してアップロードされるすべての部品を一覧表示します。

    PutObjectACL

    oss:PutObjectAcl

    バケット内のオブジェクトのACLを変更します。

    GetObjectACL

    oss:GetObjectAcl

    バケット内のオブジェクトのACLを照会します。

    RestoreObject

    oss:RestoreObject

    アーカイブ、コールドアーカイブ、およびDeep Cold Archiveオブジェクトを復元します。

    PutObjectTagging

    oss:PutObjectTagging

    オブジェクトにタグを追加、またはオブジェクトのタグを変更します。

    GetObjectTagging

    oss:GetObjectTagging

    オブジェクトのタグをクエリします。

    DeleteObjectTagging

    oss:DeleteObjectTagging

    オブジェクトのタグを削除します。

    GetObject (リクエストでバージョンIDを指定)

    oss:GetObjectVersion

    オブジェクトの特定のバージョンをダウンロードします。

    PutObjectACL (リクエストにバージョンIDを指定)

    oss:PutObjectVersionAcl

    オブジェクトの特定のバージョンのACLを変更します。

    GetObjectACL (リクエストでバージョンIDを指定)

    oss:GetObjectVersionAcl

    オブジェクトの特定のバージョンのACLを照会します。

    RestoreObject (リクエストでバージョンIDを指定)

    oss:RestoreObjectVersion

    アーカイブ、コールドアーカイブ、またはDeep Cold Archiveオブジェクトの特定のバージョンを復元します。

    DeleteObject (リクエストでバージョンIDを指定)

    oss:DeleteObjectVersion

    オブジェクトの特定のバージョンを削除します。

    PutObjectTagging (リクエストでバージョンIDを指定)

    oss:PutObjectVersionTagging

    オブジェクトの特定のバージョンのタグにタグを追加または変更します。

    GetObjectTagging (リクエストでバージョンIDを指定)

    oss:GetObjectVersionTagging

    オブジェクトの特定のバージョンのタグを照会します。

    DeleteObjectTagging (リクエストでバージョンIDを指定)

    oss:DeleteObjectVersionTagging

    オブジェクトの特定のバージョンのタグを削除します。

    PutLiveChannel

    oss:PutLiveChannel

    リアルタイムメッセージングプロトコル (RTMP) を使用してオーディオおよびビデオデータをアップロードする前に、LiveChannelを作成します。

    ListLiveChannel

    oss:ListLiveChannel

    特定のLiveChannelsをリストします。

    DeleteLiveChannel

    oss:DeleteLiveChannel

    特定の LiveChannel を削除します。

    PutLiveChannelStatus

    oss:PutLiveChannelStatus

    LiveChannelのステータスを有効または無効に変更します。

    GetLiveChannelInfo

    oss:GetLiveChannel

    LiveChannelの設定を照会します。

    GetLiveChannelStat

    oss:GetLiveChannelStat

    LiveChannelのストリーム取り込みステータスを照会します。

    GetLiveChannelHistory

    oss:GetLiveChannelHistory

    LiveChannelのストリーム取り込みレコードを照会します。

    PostVodPlaylist

    oss:PostVodPlaylist

    LiveChannelのビデオオンデマンド (VOD) プレイリストを生成します。

    GetVodPlaylist

    oss:GetVodPlaylist

    特定の時間範囲内にLiveChannelに取り込まれたストリームによって生成されたプレイリストを照会します。

    N/A

    oss:PublishRtmpStream

    RTMP経由でOSSにビデオストリームとオーディオストリームを取り込みます。

    ImgSaveAs

    oss:PostProcessTask

    処理した画像をバケットに保存します。

    N/A

    oss:ReplicateGet

    オブジェクト、パーツ、マルチパートアップロードタスクなどのデータレプリケーションタスクで、OSSがソースバケットと宛先バケットからデータとメタデータを読み取ることを許可します。

    N/A

    oss:ReplicatePut

    オブジェクトの書き込み、マルチパートアップロードタスクの実行、パーツのアップロード、シンボリックリンクの設定、オブジェクトメタデータの変更など、データレプリケーションタスクの宛先バケットに対する書き込み操作をOSSが実行できるようにします。

    N/A

    oss:ReplicateDelete

    OSSが、DeleteObject、AbortMultipartUpload、DeleteMarkerなどのデータレプリケーションタスクで宛先バケットに対して削除操作を実行できるようにします。

    重要

    この操作は、レプリケーションポリシーを追加 /削除 /変更に設定した場合にのみ必要です。

OSSのRAMポリシーのリソース要素

OSSのRAMポリシーでは、Resource要素は1つ以上の特定のリソースを指定します。 この要素は、アスタリスク (*) ワイルドカード文字をサポートします。 RAMポリシーには複数のリソース要素を含めることができます。

カテゴリ

Format

バケットレベルのリソース

acs:oss:{region }:{ bucket_owner }:{ bucket_name}

acs:oss:*:*:mybucket

オブジェクトレベルのリソース

acs:oss:{region }:{ bucket_owner }:{ bucket_name}/{object_name}

acs:oss:*:*:mybucket/abc.txt

説明

リージョンフィールドは、アスタリスク (*) ワイルドカード文字にのみ設定できます。

OSSのRAMポリシーの条件要素

Condition要素は、ポリシーが有効になるために必要な条件を指定します。 各Condition要素は、条件演算子、条件キー、および条件値で構成されます。 詳細については、「条件」をご参照ください。

次の表に、条件演算子と条件キーのカテゴリを示します。

  • 条件演算子のカテゴリ

    カテゴリ

    条件付き演算子

    String

    • StringEquals

    • StringNotEquals

    • StringEqualsIgnoreCase

    • StringNotEqualsIgnoreCase

    • StringLike

    • StringNotLike

    • NumericEquals

    • NumericNotEquals

    • NumericLessThan

    • NumericLessThanEquals

    • NumericGreaterThan

    • NumericGreaterThanEquals

    日付と時刻

    • DateEquals

    • DateNotEquals

    • DateLessThan

    • DateLessThanEquals

    • DateGreaterThan

    • DateGreaterThanEquals

    Boolean

    Bool

    IP アドレス

    • IpAddress

    • NotIpAddress

  • 条件キー

    条件キー

    説明

    acs:SourceIp

    リクエストの送信元のCIDRブロック。 この条件は、アスタリスク (*) ワイルドカード文字をサポートします。

    acs:SourceVpc

    リクエストの送信元のVPC。 このパラメーターを特定のVPC IDまたはvpc-* に設定できます。

    acs:UserAgent

    HTTPリクエストのUser-Agentヘッダー。

    タイプ: string。

    acs:CurrentTime

    リクエストがOSSサーバーによって受信された時点。

    標準: ISO 8601。

    acs:SecureTransport

    セキュアなデータ転送にHTTPSを使用するかどうかを指定します。 有効な値:

    • true: HTTPSリクエストのみ許可されます。

    • false: HTTPリクエストのみ許可されます。

    acs:SecureTransport条件が指定されていない場合、HTTPSおよびHTTPリクエストが許可されます。

    oss:Prefix

    ListObjects操作を呼び出して一覧表示するオブジェクトの名前のプレフィックス。

    oss:Delimiter

    ListObjects操作を呼び出して一覧表示するオブジェクトの名前をグループ化するために使用される文字。

    acs:AccessId

    リクエスト内のAccessKey ID。

    oss:BucketTag

    バケットのタグ。

    単一のバケットタグを条件として使用できます。 複数のバケットタグを複数の条件として設定するには、各バケットタグの前にoss:BucketTag/ を追加する必要があります。

    acs:MFAPresent

    多要素認証 (MFA) を有効にするかどうかを指定します。

    有効な値:

    • true

    • false

    oss:ExistingObjectTag

    要求されたオブジェクトにタグがあることを指定します。

    単一のオブジェクトタグを条件として使用できます。 複数のオブジェクトタグを複数の条件として設定するには、各オブジェクトタグの前にoss:ExistingObjectTag/ を追加する必要があります。

    この条件は、GetObjectHeadObjectなどのオブジェクトを読み取るために呼び出される操作と、PutObjectTaggingGetObjectTaggingなどのオブジェクトタグに関連する操作に適用されます。

    oss:RequestObjectTag

    リクエスト内のオブジェクトタグ。

    単一のオブジェクトタグを条件として使用できます。 複数のオブジェクトタグを複数の条件として設定するには、各オブジェクトタグの前にoss:RequestObjectTag/ を追加する必要があります。

    この条件は、PutObjectPostObjectなどのオブジェクトの書き込みに呼び出される操作と、PutObjectTaggingGetObjectTaggingなどのオブジェクトタグに関連する操作に適用されます。

RAMポリシーを使用して、さまざまなシナリオのユーザーに権限を付与できます。 詳細については、「RAMポリシーの一般的な例」をご参照ください。