すべてのプロダクト
Search
ドキュメントセンター

Object Storage Service:オブジェクト ACL の管理

最終更新日:Dec 19, 2023

このトピックでは、オブジェクトのアクセス制御リスト (ACL) を管理する方法について説明します。

使用上の注意

  • このトピックでは、中国 (杭州) リージョンのパブリックエンドポイントを使用します。 OSSと同じリージョンにある他のAlibaba Cloudサービスを使用してOSSにアクセスする場合は、内部エンドポイントを使用します。 OSSでサポートされているリージョンとエンドポイントの詳細については、「リージョンとエンドポイント」をご参照ください。

  • このトピックでは、OSSエンドポイントを使用してOSSClientインスタンスを作成します。 カスタムドメイン名またはSTS (Security Token Service) を使用してOSSClientインスタンスを作成する場合は、「初期化」をご参照ください。

  • オブジェクトのACLを設定するには、oss:PutObjectAcl権限が必要です。 オブジェクトACLをクエリするには、oss:GetObjectAcl権限が必要です。 詳細については、「RAMユーザーへのカスタムポリシーのアタッチ」をご参照ください。

ACLタイプ

次の表に、オブジェクトに対して構成できるACLを示します。

説明

オブジェクトのACLは、オブジェクトが格納されているバケットのACLよりも優先されます。 たとえば、プライベートバケット内のオブジェクトのACLがpublic-readに設定されている場合、匿名ユーザーを含むすべてのユーザーがオブジェクトを読み取ることができます。

ACLタイプ

説明

バケットから継承

オブジェクトのACLは、オブジェクトが格納されているバケットのACLと同じです。 これはオブジェクトのデフォルトACLです。

CannedAccessControlList.Default

プライベート

オブジェクトを読み書きできるのは、オブジェクト所有者だけです。 他のユーザーはオブジェクトにアクセスできません。

CannedAccessControlList.Private

公開読み取り

オブジェクト所有者のみがオブジェクトを書き込むことができます。 匿名ユーザーを含む他のユーザーは、オブジェクトのみを読み取ることができます。

警告

すべてのユーザーがインターネット経由でオブジェクトにアクセスできます。 これにより、オブジェクトへの予期しないアクセスと予期しない高い料金が発生する可能性があります。 オブジェクトACLをpublic-readに設定する場合は注意してください。

CannedAccessControlList.PublicRead

パブリック読み取り /書き込み

匿名ユーザーを含むすべてのユーザーがオブジェクトを読み書きできます。

警告

オブジェクトACLをこの値に設定すると、すべてのユーザーがオブジェクトにアクセスし、インターネット経由でオブジェクトにデータを書き込むことができます。 これにより、バケット内のデータへの不正アクセスと高額の料金が発生する可能性があります。 ユーザーが禁止されているデータまたは情報をアップロードすると、正当な利益と権利が侵害される可能性があります。 したがって、特別な場合を除き、オブジェクトACLをpublic-read-writeに設定しないことをお勧めします。

CannedAccessControlList.PublicReadWrite

サンプルコード

次のコードは、特定のオブジェクトのACLを設定およびクエリする方法の例を示しています。

Aliyun.OSSを使用した

Aliyun.OSS.Common; を使用
// バケットが配置されているリージョンのエンドポイントを指定します。 たとえば、バケットが中国 (杭州) リージョンにある場合、エンドポイントをhttps://oss-cn-hangzhou.aliyuncs.comに設定します。 
var endpoint = "yourEndpoint";
// 環境変数からアクセス資格情報を取得します。 サンプルコードを実行する前に、OSS_ACCESS_KEY_IDおよびOSS_ACCESS_KEY_SECRET環境変数が設定されていることを確認してください。 
var accessKeyId = Environment.GetEnvironmentVariable("OSS_ACCESS_KEY_ID");
var accessKeySecret = Environment.GetEnvironmentVariable("OSS_ACCESS_KEY_SECRET");
// バケットの名前を指定します。 例: examplebucket. 
var bucketName = "examplebucket";
// オブジェクトのフルパスを指定します。 バケット名をフルパスに含めないでください。 例: exampledir/exampleobject.txt。 
var objectName = "exampleobject.txt";

// OSSClientインスタンスを作成します。 
var client = new OssClient (エンドポイント、accessKeyId、accessKeySecret);
// オブジェクトのACLを設定します。 
トライ
{
    // SetObjectAclを呼び出して、オブジェクトのACLを設定します。 
    client.SetObjectAcl(bucketName, objectName, CannedAccessControlList.PublicRead);
    Console.WriteLine("Set Object:{0} ACL successed", objectName);
}
キャッチ (例外ex)
{
    Console.WriteLine("Set Object ACL failed with error info: {0}" 、メッセージなど);
}
// オブジェクトのACLを照会します。 
トライ
{
    // GetObjectAclを呼び出して、オブジェクトのACLを照会します。 
    var result = client.GetObjectAcl(bucketName, objectName);
    Console.WriteLine("Get Object ACL succeeded, Id: {0}  ACL: {1}",
        result.Owner.Id, result.ACL.ToString();
}
キャッチ (OssException ex)
{
    Console.WriteLine("Failed with error code: {0}; エラー情報: {1} 。 \nRequestID: {2}\tHostID: {3}"、
        ex.ErrorCode, ex.Message, ex.RequestId, ex.HostId);
}
キャッチ (例外ex)
{
    Console.WriteLine("Failed with error info: {0}" 、メッセージなど);
} 

参考資料

  • オブジェクトのACLを管理するために使用される完全なサンプルコードについては、GitHubをご覧ください。

  • オブジェクトのACLを設定するために呼び出すAPI操作の詳細については、「PutObjectACL」をご参照ください。

  • オブジェクトのACLを照会するために呼び出すAPI操作の詳細については、「GetObjectACL」をご参照ください。