このトピックでは、RAMポリシーエディターの使用方法について説明します。
アドレス
Usage
RAMポリシーはいくつかのルールで構成されています。 RAMポリシーエディターを使用すると、ポリシーのルールを追加または削除し、グラフィカルインターフェイスでポリシーのJSONテキストを生成できます。 RAMポリシーエディターでポリシー用に生成されたJSONテキストをRAMコンソールの [ポリシードキュメント] セクションにコピーして、RAMポリシーを作成できます。 詳細については、「カスタムポリシーの作成」をご参照ください。
RAMポリシーエディターでポリシーにルールを追加するには、ルールに [効果] 、[アクション] 、[リソース] 、[条件] を設定する必要があります。
- Effect
ルールがリソースへのアクセスを許可するか拒否するかを指定します。
- 操作
リソースにアクセスするために実行されるアクションを指定します。 ほとんどの場合、ドロップダウンリストに表示されている次の一般的なアクションから選択するだけで済みます。
oss:*: すべてのアクションが許可または拒否されることを示します。oss:Get *: すべての読み取りアクションが許可または拒否されることを示します。oss:Put *: すべての書き込みアクションが許可または拒否されることを示します。
詳細については、RAMポリシーエディターREADMEをご参照ください。
- Resources
ルールがアクセスを許可または拒否するOSSリソースを指定します。 次の形式で複数のリソースを指定できます。
my-bucket: バケットを示します。 この形式でリソースを指定すると、ユーザーはバケットに対してアクションを実行する権限を持ちますが、バケット内のオブジェクトは実行しません。my-bucket/*: バケット内のすべてのオブジェクトを示します。 この形式でリソースを指定した場合、ユーザーはバケット内のオブジェクトに対して操作を実行する権限を持ちますが、バケットに対しては操作を実行できません。 たとえば、ListObjects操作はバケットに対して実行できません。my-bucket/dir: バケット内のディレクトリを示します。 この形式でリソースを指定した場合、ユーザーはディレクトリに対してアクションを実行する権限を持ちますが、ディレクトリ内のオブジェクトは実行しません。my-bucket/dir/*: ディレクトリ内のすべてのオブジェクトを示します。 この形式でリソースを指定した場合、ユーザーはディレクトリ内のオブジェクトに対して操作を実行する権限を持ちますが、ディレクトリに対しては操作を実行できません。 たとえば、ディレクトリに対してListObjects操作を実行することはできません。acs:oss:*:1234:my-bucket/dir: 完全なリソースパス。 この例では、1234はコンソールで表示できるユーザーIDを示します。
- EnablePath
ディレクトリにアクセスする権限をユーザーに付与するには、親ディレクトリでListObjectsを実行する権限もユーザーに付与する必要があります。 たとえば、ユーザーがOSSコンソールまたは他のツールでmy-bucket/users/dir /という名前のディレクトリを表示できるようにするには、
my-bucket/users/dir/*形式でリソースを指定することに加えて、ユーザーに次の権限を付与する必要があります。ListObjects my-bucket リストオブジェクトmy-bucket/users ListObjects my-bucket/users/dirEnablePathを選択すると、前述の権限が自動的に付与されます。
- 条件
リソースにアクセスするために満たす必要がある条件を指定します。 ポリシーで複数の条件を指定できます。
例:
次の図は、my-bucketバケットおよびバケット内のすべてのオブジェクトに対する完全な権限をユーザーに付与するように構成できるポリシーを示しています。
