このトピックでは、RAMポリシーエディターの使用方法について説明します。
アドレス
使用量
RAM (Resource Access Management) ポリシーは、1つ以上のルールで構成されます。 RAM Policy Editorを使用すると、ポリシーのルールを追加または削除し、グラフィカルインターフェイスでポリシーJSONテキストを生成できます。 生成されたポリシーJSONテキストをコピーして、RAMコンソールのポリシーJSONエディターに貼り付けることができます。 詳細については、「カスタムポリシーの作成」をご参照ください。
RAMポリシーエディターでポリシーにルールを追加するには、ルールに [効果] 、[アクション] 、[リソース] 、[条件] を設定する必要があります。
Effect
ルールがリソースへのアクセスを許可するか拒否するかを指定します。
操作
リソースにアクセスするために実行されるアクションを指定します。 ほとんどの場合、ドロップダウンリストに表示されている次の一般的なアクションから選択できます。
oss:*: サポートされているすべてのアクションを指定します。oss:Get *: すべての読み取りアクションを指定します。oss:Put *: すべての書き込みアクションを指定します。
詳細については、RAMポリシーエディターREADMEをご参照ください。
Resources
1つ以上のリソースを指定します。 一般的なリソース構成シナリオ:
バケット内のオブジェクトを除外して、バケットのみを指定します。 例:
my-bucketバケット内のすべてのオブジェクトを指定し、バケット自体を除外します。 例:
my-bucket/*バケット内のディレクトリを指定し、ディレクトリ内のオブジェクトを除外します。 例:
my-bucket/dirディレクトリ内のすべてのオブジェクトを指定し、ディレクトリ自体を除外します。 例:
my-bucket/dir/*(ポリシーはdirディレクトリには適用されません) 。完全なリソースパスを指定します。 例
acs:oss:*:174649585760xxxx:my-bucket/dir(174649585760xxxxはユーザーUIDで、OSSコンソールで確認できます)
EnablePath
ポリシーでディレクトリを指定するには、ディレクトリの親ディレクトリでListObjects操作を呼び出す権限も付与する必要があります。 たとえば、
my-bucket/users/dir/*に対して読み取りおよび書き込み権限を付与するには、次のリソースに対してListObjects操作を許可する必要もあります。ListObjects my-bucket ListObjects my-bucket/users ListObjects my-bucket/users/dir[EnablePath] チェックボックスをオンにすると、上記の権限が自動的に付与されます。
条件
リソースにアクセスするために満たす必要がある条件を指定します。 ポリシーで複数の条件を指定できます。
例
次のサンプルポリシーは、指定されたリソースに対するすべてのOSS権限を付与します。