バケットポリシーは、Object Storage Service (OSS) バケットの権限付与ポリシーです。バケットポリシーを使用すると、Alibaba Cloud アカウント、Resource Access Management (RAM) ユーザー、RAM ロールなどの認証済みビジター、または匿名ビジターに対して、指定された OSS リソースへの詳細なアクセスを許可または拒否できます。たとえば、別の Alibaba Cloud アカウントに属する RAM ユーザーに、指定された OSS リソースに対する読み取り専用権限を付与できます。
注意事項
バケットポリシーを設定する前に、この機能について理解していることを確認してください。詳細については、「バケットポリシー」をご参照ください。
このトピックでは、中国 (杭州) リージョンのパブリックエンドポイントを使用します。OSS と同じリージョンにある他の Alibaba Cloud サービスから OSS にアクセスする場合は、内部エンドポイントを使用してください。OSS のリージョンとエンドポイントの詳細については、「リージョンとエンドポイント」をご参照ください。
このトピックでは、アクセス認証情報は環境変数から取得されます。アクセス認証情報の設定方法の詳細については、「アクセス認証情報の設定」をご参照ください。
このトピックでは、OSS エンドポイントを使用して OSSClient インスタンスが作成されます。カスタムドメイン名または Security Token Service (STS) を使用して OSSClient インスタンスを作成する場合は、「クライアントの設定 (Go SDK V1)」をご参照ください。
バケットポリシーを設定するには、
oss:PutBucketPolicy権限が必要です。バケットポリシーを取得するには、oss:GetBucketPolicy権限が必要です。バケットポリシーを削除するには、oss:DeleteBucketPolicy権限が必要です。詳細については、「RAM ユーザーへのカスタムポリシーのアタッチ」をご参照ください。
サンプルコード
バケットポリシーの設定
次のコードは、バケットポリシーを設定する方法を示しています。
package main
import (
"log"
"github.com/aliyun/aliyun-oss-go-sdk/oss"
)
func main() {
// 環境変数からアクセス認証情報を取得します。 このサンプルコードを実行する前に、OSS_ACCESS_KEY_ID および OSS_ACCESS_KEY_SECRET 環境変数が設定されていることを確認してください。
provider, err := oss.NewEnvironmentVariableCredentialsProvider()
if err != nil {
log.Fatalf("Failed to create credentials provider: %v", err)
}
// OSSClient インスタンスを作成します。
// yourEndpoint をバケットのエンドポイントに設定します。 たとえば、中国 (杭州) リージョンのバケットの場合、エンドポイントを https://oss-cn-hangzhou.aliyuncs.com に設定します。 他のリージョンについては、必要に応じてエンドポイントを設定します。
// yourRegion をバケットが配置されているリージョンに設定します。 たとえば、中国 (杭州) リージョンのバケットの場合、リージョンを cn-hangzhou に設定します。 他のリージョンについては、必要に応じてリージョンを設定します。
clientOptions := []oss.ClientOption{oss.SetCredentialsProvider(&provider)}
clientOptions = append(clientOptions, oss.Region("yourRegion"))
// 署名バージョンを設定します。
clientOptions = append(clientOptions, oss.AuthVersion(oss.AuthV4))
client, err := oss.New("yourEndpoint", "", "", clientOptions...)
if err != nil {
log.Fatalf("Failed to create OSS client: %v", err)
}
// 次の例では、リソース所有者 (UID 174649585760xxxx のバケット所有者) がバケットポリシーを使用して、指定されたユーザー (UID 20214760404935xxxx の RAM ユーザー) に examplebucket 内のすべてのファイルを一覧表示する権限を付与する方法を示します。
policyConfig := `
{
"Statement": [
{
"Action": [
"oss:GetObject",
"oss:ListObjects"
],
"Principal": [
"20214760404935xxxx"
],
"Effect" : "Allow",
"Resource" : ["acs:oss:*:174649585760xxxx:examplebucket/*"]
}
],
"Version": "1"
}`
// バケットポリシーを設定します。
bucketName := "examplebucket"
err = client.SetBucketPolicy(bucketName, policyConfig)
if err != nil {
log.Fatalf("Failed to set bucket policy for '%s': %v", bucketName, err)
}
log.Println("SetBucketPolicy success")
}
バケットポリシーの取得
次のコードは、バケットポリシーを取得する方法を示しています。
package main
import (
"log"
"github.com/aliyun/aliyun-oss-go-sdk/oss"
)
func main() {
// 環境変数からアクセス認証情報を取得します。 このサンプルコードを実行する前に、OSS_ACCESS_KEY_ID および OSS_ACCESS_KEY_SECRET 環境変数が設定されていることを確認してください。
provider, err := oss.NewEnvironmentVariableCredentialsProvider()
if err != nil {
log.Fatalf("Failed to create credentials provider: %v", err)
}
// OSSClient インスタンスを作成します。
// yourEndpoint をバケットのエンドポイントに設定します。 たとえば、中国 (杭州) リージョンのバケットの場合、エンドポイントを https://oss-cn-hangzhou.aliyuncs.com に設定します。 他のリージョンについては、必要に応じてエンドポイントを設定します。
// yourRegion をバケットが配置されているリージョンに設定します。 たとえば、中国 (杭州) リージョンのバケットの場合、リージョンを cn-hangzhou に設定します。 他のリージョンについては、必要に応じてリージョンを設定します。
clientOptions := []oss.ClientOption{oss.SetCredentialsProvider(&provider)}
clientOptions = append(clientOptions, oss.Region("yourRegion"))
// 署名バージョンを設定します。
clientOptions = append(clientOptions, oss.AuthVersion(oss.AuthV4))
client, err := oss.New("yourEndpoint", "", "", clientOptions...)
if err != nil {
log.Fatalf("Failed to create OSS client: %v", err)
}
// バケットポリシー構成を取得します。
bucketName := "yourBucketName"
strPolicy, err := client.GetBucketPolicy(bucketName)
if err != nil {
log.Fatalf("Failed to get bucket policy for '%s': %v", bucketName, err)
}
log.Printf("Bucket policy for '%s': %s", bucketName, strPolicy)
}
バケットポリシーの削除
次のコードは、バケットポリシーを削除する方法を示しています。
package main
import (
"log"
"github.com/aliyun/aliyun-oss-go-sdk/oss"
)
func main() {
// 環境変数からアクセス認証情報を取得します。 このサンプルコードを実行する前に、OSS_ACCESS_KEY_ID および OSS_ACCESS_KEY_SECRET 環境変数が設定されていることを確認してください。
provider, err := oss.NewEnvironmentVariableCredentialsProvider()
if err != nil {
log.Fatalf("Failed to create credentials provider: %v", err)
}
// OSSClient インスタンスを作成します。
// yourEndpoint をバケットのエンドポイントに設定します。 たとえば、中国 (杭州) リージョンのバケットの場合、エンドポイントを https://oss-cn-hangzhou.aliyuncs.com に設定します。 他のリージョンについては、必要に応じてエンドポイントを設定します。
// yourRegion をバケットが配置されているリージョンに設定します。 たとえば、中国 (杭州) リージョンのバケットの場合、リージョンを cn-hangzhou に設定します。 他のリージョンについては、必要に応じてリージョンを設定します。
clientOptions := []oss.ClientOption{oss.SetCredentialsProvider(&provider)}
clientOptions = append(clientOptions, oss.Region("yourRegion"))
// 署名バージョンを設定します。
clientOptions = append(clientOptions, oss.AuthVersion(oss.AuthV4))
client, err := oss.New("yourEndpoint", "", "", clientOptions...)
if err != nil {
log.Fatalf("Failed to create OSS client: %v", err)
}
// バケットポリシーを削除します。
bucketName := "yourBucketName"
err = client.DeleteBucketPolicy(bucketName)
if err != nil {
log.Fatalf("Failed to delete bucket policy for '%s': %v", bucketName, err)
}
log.Println("DeleteBucketPolicy success")
}
関連ドキュメント
バケットポリシーを設定する API 操作の詳細については、「SetBucketPolicy」をご参照ください。
バケットポリシーを取得する API 操作の詳細については、「GetBucketPolicy」をご参照ください。
バケットポリシーを削除する API 操作の詳細については、「DeleteBucketPolicy」をご参照ください。