すべてのプロダクト
Search
ドキュメントセンター

Object Storage Service:権限管理

最終更新日:Dec 20, 2023

ossbrowserを使用して、特定のリソースへのユーザーアクセスを管理できます。

シナリオ

企業のIT管理者であり、バケットに対するさまざまなアクセス権限を従業員に付与する必要があるとします。 ossbrowserを使用して、その目的を達成できます。 たとえば、バケット内のディレクトリに対する一時的なアクセス許可をEmployee Aに付与し、バケットまたはバケット内のディレクトリに対する通常の読み取り専用または読み取り /書き込みアクセスをEmployee Bに付与できます。

前提条件

データセキュリティのため、RAMユーザーのAccessKeyペアを使用してossbrowserにログインすることを推奨します。 RAMユーザーが作成され、バケットを管理する権限が付与され、AliyunRAMFullAccessポリシーとAliyunSTSAsumeRoleAccessポリシーがアタッチされます。 詳細については、「RAMユーザーの作成」および「RAMユーザーへの権限付与」をご参照ください。

一時的な権限付与

一時的な権限付与を実装するには、AssumeRole操作を呼び出して、一時的なアクセス資格情報 (一時的なAccessKeyペアと権限付与トークン) を持つロールを引き受け、トークンの有効期限が切れる前に指定されたリソースへのアクセスをユーザーに付与するために、対象ユーザーに一時的なアクセス資格情報を提供する必要があります。 トークンは、有効期限が切れると自動的に無効になります。

  1. 前述のRAMユーザーのAccessKeyペアを使用してossbrowserにログインします。

    詳細については、「AccessKeyペアの作成」および「ossbrowserへのインストールとログイン」をご参照ください。

  2. バケットの名前をクリックします。

  3. 一時アクセスを許可するディレクトリを選択し、[詳細] > [権限付与トークン] を選択します。

    重要

    認可トークンの生成は、ディレクトリに対してのみサポートされます。

    image.png

  4. 権限、有効期間、ロールを設定し、[生成] をクリックします。

    説明

    ロールには、このディレクトリに対する少なくとも読み取り専用の権限が必要です。

  5. [コピー] をクリックして、認証トークンをコピーします。

  6. 一時的なアクセスを許可するユーザーの権限トークンを指定します。

    image.png

    説明

    ユーザーは、権限付与トークンを使用してossbrowserにログインできます。 詳細については、「認証コードを使用したossbrowserへのログイン」をご参照ください。

長期認証

ossbrowserは、RAMユーザーに対して選択したアクセス許可に基づいて自動的に作成される単純なポリシーに基づく長期認証をサポートします。 権限付与が完了すると、RAMユーザーはバケットまたはバケット内の特定のディレクトリに対して通常の読み取り専用または読み取り /書き込みアクセス権を持ちます。

説明

ossbrowserのシンプルなポリシー機能は、Alibaba Cloud Resource access Management (RAM) に基づくアクセス制御を実装しています。 Alibaba Cloud WebサイトからRAMコンソールにログインして、RAMユーザーを管理できます。

  1. 前提条件セクションに記載されているRAMユーザーとしてossbrowserにログオンします。

  2. バケットの名前をクリックします。

  3. 1つ以上のオブジェクトまたはディレクトリを選択し、[詳細] > [ポリシー権限付与の簡素化] を選択します。

  4. [ポリシー権限付与の簡素化] ダイアログボックスで、権限を設定します。

  5. RAMユーザーに権限を付与します。 既存のRAMユーザーを選択するか、作成することができます。image.png

    説明

    [ポリシーの表示] をクリックすると、生成されたポリシーテキストが表示され、必要な場所に貼り付けられます。 たとえば、ポリシーテキストをコピーして、OSSコンソールの該当するポリシーエディターに貼り付けることができます。

  6. 指定されたリソースへのアクセスを許可されたRAMユーザーのAccessKeyペアを使用してossbrowserにログインし、リソースを管理します。