すべてのプロダクト
Search
ドキュメントセンター

Object Storage Service:アクセスポイントの作成

最終更新日:Dec 11, 2024

アクセスポイントは、共有データセットの大規模なデータアクセス管理を簡素化します。 このトピックでは、アクセスポイントを作成する方法について説明します。

前提条件

  • アクセスポイントを関連付けるバケットは、次のいずれかのリージョンにあります。中国 (杭州) 、中国 (上海) 、中国 (青島) 、中国 (北京) 、中国 (張家口) 、中国 (フフホト) 、中国 (ウランカブ) 、中国 (深セン) 、中国 (河源) 、中国 (広州) 、中国 (成都) 、中国 (香港) 、米国 (シリコンバレー) 、米国 (バージニア) 、日本 (東京) 、韓国 (ソウル) 、シンガポール、マレーシア (クアラルンプール) 、インドネシア (ジャカルタ) 、フィリピン (マニラ) 、タイ (バンコク) 、インド (ムンバイ) (サービス終了)、ドイツ (フランクフルト) 、英国 (ロンドン).

  • VPCからのアクセスのみを許可するアクセスポイントを作成する場合は、仮想プライベートクラウド (VPC) が作成されます。 詳細については、「VPC の作成と管理」をご参照ください。

  • RAMユーザーを使用してアクセスポイントを作成する場合、RAMユーザーには次の権限が付与されます。oss:CreateAccessPoint,oss:GetAccessPoint,oss:DeleteAccessPoint,oss:ListAccessPoints,oss:PutAccessPointPolicy,oss:GetAccessPointPolicy,oss:DeleteAccessPointPolicy,oss:PutBucketPolicy,oss:GetBucketPolicy、およびoss:DeleteBucketPolicy. 詳細については、「RAMユーザーへのカスタムポリシーのアタッチ」をご参照ください。

シナリオ例

企業は、収集したデータをAlibaba Cloudアカウント137918634953xxxxのexamplebucketバケットに保存し、ビッグデータの分析と管理を行います。 アカウントの所有者であり、10のビジネスユニットにexamplebucketバケットへのアクセスを許可する必要があります。

  • インターネット経由でexamplebucket/dir1 /ディレクトリ内のオブジェクトに対する読み取り操作のみをユニット1 ~ 3に許可します。

  • Unit 4がインターネット経由でバケット内のディレクトリに対して読み取りおよび書き込み操作を実行できるようにします。

  • ユニット5 ~ 10に、特定のVPCからのみexamplebucket/dir2 /ディレクトリ内のオブジェクトの読み取りおよび書き込み操作を許可します。

前述のアクセス制御要件を満たすようにアクセスポイントを設定できます。

ユニット1〜3、ユニット4、およびユニット5〜10に個別にアクセスポイントを作成し、アクセスポイントに権限を割り当てる必要があります。 次に、対応するアクセスポイントをユニットに提供します。 このようにして、ユニットは対応するアクセスポイントを使用して、自分向けのデータにアクセスできます。

方法

OSSコンソールの使用

  1. アクセスポイントに関する基本情報を設定します。

    1. OSSコンソールにログインします。

    2. 左側のナビゲーションウィンドウで、アクセスポイント をクリックします。

    3. アクセスポイント ページで、[アクセスポイントの作成] をクリックします。

    4. [アクセスポイントの作成] パネルで、[基本情報] ステップで次のパラメーターを設定し、[次へ] をクリックします。

      パラメーター

      説明

      アクセスポイント名

      アクセスポイントの名前を指定します。 アクセスポイントの名前は、次の要件を満たす必要があります。

      • 名前は、Alibaba Cloudアカウントのリージョンで一意である必要があります。

      • 名前は-ossaliasで終わることはできません。

      • 名前には、小文字、数字、ハイフン (-) のみを使用できます。 ハイフン (-) で開始または終了することはできません。

      • 名前は3 ~ 19文字である必要があります。

      • ユニット1〜3: ap-01

      • ユニット4: ap-02

      • ユニット5 to10: ap-03

      Bucket

      ドロップダウンリストからアクセスポイントを作成するバケットを選択します。 バケットに最大100のアクセスポイントを作成できます。

      examplebucket

      ネットワークソース

      アクセスポイントのネットワークソースを選択します。

      • インターネット: バケット内のデータには、インターネットまたは内部ネットワーク経由でアクセスできます。

      • VPC: バケット内のデータには、特定のVPC経由でのみアクセスできます。 このオプションを選択した場合、VPC IDを指定する必要があります。

        重要
        • アクセスポイントを使用してVPCを制限する場合は、選択したVPCのリージョンがOSSでサポートされているゲートウェイエンドポイントのリージョンと一致していることを確認してください。 そうしないと、認証リクエストを対応するVPCに関連付けることができず、認証が失敗します。 詳細については、「OSSでサポートされているゲートウェイエンドポイントのリージョン」をご参照ください。

        • アクセスポイントのネットワークソースがVPCの場合、OSSコンソールを使用してアクセスポイントに関連付けられているバケット内のリソースにアクセスすることはできません。 リソースにアクセスするには、OSS SDKを使用してアクセスポイントをバケットの内部エンドポイントと結合します。

      • ユニット1〜3: インターネット

      • ユニット4: インターネット

      • ユニット5〜10: VPC

  2. アクセスポイントポリシーを設定します。

    重要

    アクセスポイントポリシーは、アクセスポイントを使用して作成されたリクエストにのみ適用され、バケットの他の使用可能なアクセス方法には影響しません。

    GUIでのアクセスポリシーの追加

    1. [アクセスポイントポリシー] ステップで、パラメーターを設定します。 下表に、各パラメーターを説明します。

      パラメーター

      説明

      アクセスポイントポリシー

      GUI で追加 を選択します。

      非該当

      アクセスポイントのARN

      アクセスポイントのAlibaba Cloudリソース名 (ARN) を指定します。 形式: acs:oss:region:account UID:accesspoint/accessPointName/object/*

      acs:oss:cn-hangzhou:137918634953xxxx: アクセスポイント /ap-01 /オブジェクト /*

      関連リソース

      アクセスポイントポリシーを適用するリソースを選択します。

      • バケット全体: アクセスポイントポリシーは、バケット内のすべてのリソースに適用されます。

      • 指定されたリソース: バケットポリシーは、バケット内の特定のリソースにのみ適用されます。 バケット内の特定のリソースに対して複数のアクセスポイントポリシーを設定できます。

      • ユニット1〜3: 特定のリソース

      • ユニット4: バケット全体

      • ユニット5〜10: 特定のリソース

      リソースパス

      • 関連リソースバケット全体 に設定した場合、リソースパスの値は自動的にaccesspoint/accessPointName/* 形式で入力されるため、リソースパスを指定する必要はありません。

      • 関連リソース指定されたリソース に設定した場合、次の要件に基づいてリソースパスパラメーターを指定します。

        • ディレクトリレベルの権限付与

          ディレクトリ内のすべてのサブディレクトリおよびオブジェクトへのアクセスを許可するには、ディレクトリ名にアスタリスク (*) を追加します。 たとえば、abcという名前のディレクトリ内のすべてのサブディレクトリおよびオブジェクトへのアクセスを許可するには、abc/* と入力します。

        • オブジェクトレベルの権限付与

          特定のオブジェクトへのアクセスを許可するには、バケット名を除くオブジェクトのフルパスを入力します。 たとえば、abcディレクトリ内のmyphoto.pngという名前のオブジェクトへのアクセスを許可するには、abc/myphoto.pngと入力します。

      • ユニット1〜3: アクセスポイント /ap-01 /オブジェクト /dir1/*

      • ユニット4: アクセスポイント /ap-02/*

      • ユニット5〜10: アクセスポイント /ap-03 /オブジェクト /dir2/*

      承認済みユーザー

      権限を付与するアカウントのタイプを選択します。 現在のAlibaba CloudアカウントのRAMユーザーのみが、特定のリソースへのアクセスを許可されます。

      [RAMユーザー] を選択し、ドロップダウンリストからRAMユーザーを選択します。 複数のRAMユーザーに権限を付与する場合は、検索ボックスにRAMユーザー名のキーワードを入力してあいまい一致を実行することをお勧めします。

        重要

        RAMユーザーを選択する前に、Alibaba Cloudアカウントを使用するか、RAMコンソールでバケットを管理する権限とListUsers権限を持つRAMユーザーとしてOSSコンソールにログインしてください。 それ以外の場合、現在のAlibaba CloudアカウントのRAMユーザーを表示できません。 RAMユーザーにListUsers権限を付与する方法の詳細については、「RAMユーザーに権限を付与する」をご参照ください。

      • ユニット1〜3: RAMユーザー (UID: 26571698800555xxxx)

      • ユニット4: RAMユーザー (UID: 25770968794578xxxx)

      • ユニット5〜10: RAMユーザー (UID: 26806658794579xxxx)

      許可された操作

      許可された操作を指定するには、[基本設定] および [詳細設定] のいずれかの方法を使用できます。

      • 基本設定

        このオプションを選択する場合は、ビジネス要件に基づいて次の権限を設定します。 各権限の右側のアイコンの上にmarkポインターを移動して、権限に対応するアクションを表示できます。

        • 読み取り専用 (ListObject を除く): 許可されたユーザーがリソースを表示およびダウンロードできるようにします。

        • 読み取り専用 (ListObject を除く): 許可されたユーザーがリソースを表示、一覧表示、ダウンロードできるようにします。

        • 読み書き: 許可されたユーザーがリソースに対して読み取りおよび書き込み操作を実行できるようにします。

        • フルコントロール: 許可されたユーザーがリソースに対するすべての操作を実行できるようにします。

        • アクセス拒否: 許可されたユーザーがリソースに対して操作を実行することを禁止します。

        重要

        ユーザーに複数のバケットポリシーが設定されている場合、そのユーザーはポリシーで設定されているすべての権限を持ちます。 ただし、Authorized Operationパラメーターがアクセス拒否に設定されているバケットポリシーが作成された場合、このバケットポリシーが優先されます。 たとえば、許可された操作が読み取り専用に設定されている最初のバケットポリシーを設定し、許可された操作が読み取り /書き込みに設定されている2番目のバケットポリシーを設定した場合、読み取り /書き込み権限がユーザーに付与されます。 許可された操作がアクセス拒否に設定されているサードバケットポリシーを設定した場合、ユーザーはリソースへのアクセスを拒否されます。

        読み取り専用 (ListObjectを除く) 、読み取り専用 (ListObjectを含む) 、読み取り /書き込み、およびフルアクセスの権限付与効果は許可、アクセス拒否の権限付与効果は拒否です。

      • 高度な設定

        このオプションを選択した場合、次のパラメーターを設定する必要があります。

        • 効果: [許可] または [拒否] を選択します。

        • 操作: 許可または拒否するアクションを指定します。 アクションカテゴリの詳細については、「OSSのRAMポリシーのAction要素」をご参照ください。

      • ユニット1〜3: 読み取り専用 (ListObjectを含む)

      • ユニット4: 読み取り /書き込み

      • ユニット5〜10: 読み取り /書き込み

    2. [送信] をクリックします。

      • OSSでは、アクセスポイントの作成に約10分かかります。

      • OSSは、アクセスポイントのエイリアスを自動的に作成します。 [アクセスポイント] ページでアクセスポイントのエイリアスを表示できます。

      • アクセスポイントのエイリアスを変更、削除、または無効にすることはできません。

    ポリシーステートメントを指定してアクセスポイントポリシーを追加する

    1. [アクセスポイントポリシー] ステップで、[アクセスポイントポリシー]構文で追加 を選択します。

    2. コードエディターで、次のポリシーを入力します。

      ユニット1 ~ 3のアクセスポイントポリシー

      {
          "Version": "1",
          "Statement": [{
              "Effect": "Allow",
              "Action": [    
                  "oss:GetObject",    
                  "oss:GetObjectAcl",
                  "oss:ListObjects",
                  "oss:RestoreObject",
                  "oss:ListObjectVersions",
                  "oss:GetObjectVersion",
                  "oss:GetObjectVersionAcl",
                  "oss:RestoreObjectVersion"    
              ],    
              "Principal": [    
                  "26571698800555xxxx"    
              ],    
              "Resource": [    
                  "acs:oss:cn-hangzhou:137918634953xxxx:accesspoint/ap-01/object/dir1/*"    
              ]    
          },{     
              "Effect": "Allow",    
              "Action": [    
                  "oss:ListObjects",
                  "oss:GetObject"    
              ],    
              "Principal": [    
                  "26571698800555xxxx"    
              ],    
              "Resource": [    
                  "acs:oss:cn-hangzhou:137918634953xxxx:accesspoint/ap-01"    
          ],
              "Condition": {    
                  "StringLike": {    
                      "oss:Prefix": [            
                          "dir1/*"    
                      ]    
                  }    
              }    
            }    
          ]    
      }

      Unit 4のアクセスポイントポリシー

      {
          "Version": "1",
          "Statement": [{
              "Effect": "Allow",
              "Action": [    
                  "oss:GetObject",
                  "oss:PutObject",    
                  "oss:GetObjectAcl",
                  "oss:PutObjectAcl",
                  "oss:ListObjects",
                  "oss:AbortMultipartUpload",
                  "oss:ListParts",
                  "oss:RestoreObject",
                  "oss:ListObjectVersions",
                  "oss:GetObjectVersion",
                  "oss:GetObjectVersionAcl",
                  "oss:RestoreObjectVersion"    
              ],    
              "Principal": [    
                  "25770968794578xxxx"    
              ],    
              "Resource": [    
                  "acs:oss:cn-hangzhou:137918634953xxxx:accesspoint/ap-02/object/*"    
              ]    
          },{     
              "Effect": "Allow",    
              "Action": [    
                  "oss:ListObjects",
                  "oss:GetObject"    
              ],    
              "Principal": [    
                  "25770968794578xxxx"    
              ],    
              "Resource": [    
                  "acs:oss:cn-hangzhou:137918634953xxxx:accesspoint/ap-02"    
          ],
              "Condition": {    
                  "StringLike": {    
                      "oss:Prefix": [            
                          "*"    
                      ]    
                  }    
              }    
            }    
          ]    
      }

      ユニット5 ~ 10のアクセスポイントポリシー

      {
          "Version": "1",
          "Statement": [{
              "Effect": "Allow",
              "Action": [    
                  "oss:GetObject",
                  "oss:PutObject",    
                  "oss:GetObjectAcl",
                  "oss:PutObjectAcl",
                  "oss:ListObjects",
                  "oss:AbortMultipartUpload",
                  "oss:ListParts",
                  "oss:RestoreObject",
                  "oss:ListObjectVersions",
                  "oss:GetObjectVersion",
                  "oss:GetObjectVersionAcl",
                  "oss:RestoreObjectVersion"    
              ],    
              "Principal": [    
                  "26806658794579xxxx"    
              ],    
              "Resource": [    
                  "acs:oss:cn-hangzhou:137918634953xxxx:accesspoint/ap-03/object/dir2/*"    
              ]    
          },{     
              "Effect": "Allow",    
              "Action": [    
                  "oss:ListObjects",
                  "oss:GetObject"    
              ],    
              "Principal": [    
                  "26806658794579xxxx"    
              ],    
              "Resource": [    
                  "acs:oss:cn-hangzhou:137918634953xxxx:accesspoint/ap-03"    
          ],
              "Condition": {    
                  "StringLike": {    
                      "oss:Prefix": [            
                          "dir2/*"    
                      ]    
                  }    
              }    
            }    
          ]    
      }
    3. [送信] をクリックします。

      • OSSでは、アクセスポイントの作成に約10分かかります。

      • OSSは、アクセスポイントのエイリアスを自動的に作成します。 [アクセスポイント] ページでアクセスポイントのエイリアスを表示できます。

      • アクセスポイントのエイリアスを変更、削除、または無効にすることはできません。

  3. バケットポリシーを使用して、アクセス制御をアクセスポイントに委任します。

    1. [アクセスポイント] ページで、作成したアクセスポイントの名前をクリックします。

    2. [構成管理] タブで、[アクセスポイントへのアクセス制御の委任] をクリックします。

    3. [アクセスポイントへのアクセス制御の委任] パネルで、アクセスポイントにアクセス制御権限を委任するバケットポリシーを設定します。

      委任タイプ

      説明

      oss:DataAccessPointArn

      指定したアクセスポイントにアクセス制御権限を委任します。 委任後、指定されたアクセスポイントのみが有効になります。

      oss:DataAccessPointAccount

      oss:AccessPointNetworkOrigin

      ネットワークソースがインターネットまたはVPCであるアクセスポイントにアクセス制御権限を委任します。 委任後、ネットワークソースがインターネットまたはVPCであるアクセスポイントのみが有効になります。

      説明

      [インターネット] を選択した場合、インターネットおよびVPC経由でアクセスできるアクセスポイントにアクセス制御権限が委任されます。

      oss:DataAccessPointAccount

      現在のAlibaba Cloudアカウントが所有するすべてのアクセスポイントにアクセス制御権限を委任します。 委任後、Alibaba Cloudアカウントが所有するすべてのアクセスポイントが有効になります。

    4. [ポリシーの生成] をクリックします。

OSS APIの使用

ビジネスで高度なカスタマイズが必要な場合は、RESTful APIを直接呼び出すことができます。 APIを直接呼び出すには、コードに署名計算を含める必要があります。

  • アクセスポイントを作成するために呼び出すAPI操作の詳細については、「CreateAccessPoint」をご参照ください。

  • アクセスポイントポリシーを設定するために呼び出すことができるAPI操作の詳細については、「PutAccessPointPolicy」をご参照ください。

  • バケットポリシーを使用してアクセスポイントに権限を委任するために呼び出すAPI操作の詳細については、「PutBucketPolicy」をご参照ください。

次に何をすべきか

アクセスポイントを作成した後、アクセスポイントのエイリアスを使用して関連データにアクセスできます。 詳細については、「アクセスポイントの使用」をご参照ください。

よくある質問

アクセスポイントのアクセスポイントポリシーを設定するときに、IPアドレスホワイトリストを設定できますか。

はい。 ポリシーステートメントを指定してアクセスポイントポリシーを設定し、"IpAddress": {"acs:SourceIp": ["xxx"]} をアクセスポイントポリシーに追加できます。