アドレス

RAM Policy Editor

使用方法

RAM 権限ポリシーは、複数のルールで構成されています。 RAM Policy Editor を使用して、ルールを 1 つずつインターフェイスに追加または削除した後、ポリシーの JSON ファイルが自動的に生成されます。 すべてのポリシールールを追加した後、JSON ファイルをコピーし、アクセス制御コンソールで、作成済み権限ポリシーの内容ボックスに貼り付けます。

詳細な操作については、「権限ポリシーの作成」をご参照ください。

RAM Policy Editor では、ルールごとに Effect、Actions、Resources、Conditions の各フィールドを設定する必要があります。

  • Effect

    このルールへのアクセスを許可するか拒否するかを指定します。

  • Actions

    リソースに対するアクションを指定します。 1 つ以上のアクションを選択できます。 通常、ワイルドカードアクションを使用すれば十分です。

    • oss:*: すべての操作を許可
    • oss:Get*: すべての読み取り操作を許可
    • oss:Put*: すべての書き込み操作を許可

    詳しくは、「RAM Policy Editor README」をご参照ください。

  • Resources

    アクセスを許可する OSS のリソースを指定します。 複数のリソースを指定することができ、それぞれは次の形式で表されます。

    • バケット: my-bucket (バケット内のオブジェクトに対する権限なし)
    • バケット内のすべてのオブジェクト: my-bucket/* (ListObjects など、バケット自体に対する権限なし)
    • バケット内のディレクトリ: my-bucket/dir (dir/ 下のオブジェクトに対する権限なし)
    • バケット内のディレクトリにあるすべてのオブジェクト: my-bucket/dir/* (ListObjects など、dir に対する権限なし)
    • 完全なリソースパス: acs:oss:*:1234:my-bucket/dir1234 はユーザー ID です (コンソールに表示されます)。

    EnablePath

    ディレクトリに対する権限を付与したい場合は、通常、その上位レベルのディレクトリに対するリスト権限を付与する必要があります。 たとえば、my-bucket/users/dir/* に読み取りおよび書き込み権限を付与したい場合、このディレクトリをコンソール (または他のツール) で表示するため、次の権限も付与する必要があります。
    ListObjects my-bucket
    ListObjects my-bucket/users
    ListObjects my-bucket/users/dir

    EnablePath オプションが選択されていると、前述の権限が自動的に追加されます。

  • Conditions

    アクセスを許可する場合に満たす必要のある条件を指定します。 複数の条件を指定できます。

    詳しくは、「RAM Policy Editor README」をご参照ください。

my-bucket と my-bucket のファイルにすべての権限を付与します。



他の例については、「RAM Policy Editor README」をご参照ください。