オブジェクトアクセス制御リスト (ACL) は、Object Storage Service (OSS) の機能で、オブジェクトレベルでアクセスを制御します。オブジェクト ACL を使用して、バケットの権限とは独立して、個々のオブジェクトに特定の読み取り/書き込み権限を設定できます。
仕組み
オブジェクト ACL は、事前定義された権限を使用して個々のオブジェクトへのアクセスを制御します。OSS は、次の 4 種類の権限をサポートしています。
権限の値 | 説明 |
default | バケット ACL を継承します。オブジェクトの読み取り/書き込み権限は、そのバケットと同じになります。 |
private | 非公開。オブジェクト所有者または権限を付与されたユーザーのみがオブジェクトの読み取りまたは書き込みを行えます。他のユーザーはアクセスできません。 |
public-read | 公開読み取り。オブジェクト所有者または権限を付与されたユーザーのみがオブジェクトへの書き込みを行えます。匿名ユーザーを含むすべてのユーザーが読み取りを行えます。 |
public-read-write | 公開読み書き。匿名ユーザーを含むすべてのユーザーがオブジェクトの読み取りと書き込みを行えます。 |
オブジェクト ACL はバケット ACL よりも優先度が高くなります。オブジェクトの ACL が `default` 以外の値に設定されている場合、システムはオブジェクト ACL に基づいてアクセス制御を適用します。たとえば、オブジェクトの ACL が `public-read` に設定されている場合、バケットの ACL に関係なく、そのオブジェクトには匿名でアクセスできます。
public-read-write:インターネット上のすべてのユーザーがオブジェクトにアクセスし、書き込むことができます。これにより、データ漏洩、コストの増加、または悪意のある情報や違法な情報の書き込みにつながる可能性があります。特定のシナリオを除き、この権限を設定しないでください。
public-read:インターネット上のすべてのユーザーがオブジェクトにアクセスできます。これにより、データ漏洩やコストの増加につながる可能性があります。この権限は注意して使用してください。
オブジェクト ACL の設定
バケットを作成すると、デフォルトでパブリックアクセスのブロックが有効になります。オブジェクト ACL は、`private` または `default` にのみ設定できます。ACL を `public-read` または `public-read-write` に設定するには、まずパブリックアクセスのブロックを無効にする必要があります。
コンソール
バケットリストページに移動し、対象のバケット名をクリックします。
オブジェクトファイルの「操作」列で、詳細をクリックし、次にACLを設定をクリックします。
必要に応じてACL (アクセス制御リスト)を設定し、OKをクリックします。
ossutil コマンドラインインターフェイス
ossutil V2.0 の put-object-acl コマンドを使用して、オブジェクト ACL を設定できます。
ossutil api put-object-acl --bucket examplebucket --key exampleobject --acl privateSDK
以下のコードは、主要な SDK を使用してオブジェクト ACL を設定する方法の例です。他の SDK のコード例については、SDK リファレンスをご参照ください。
// この例では、オブジェクトのアクセス制御リスト (ACL) を設定する方法を示します。
// 開始する前に、OSS_ACCESS_KEY_ID および OSS_ACCESS_KEY_SECRET 環境変数を設定してください。
import com.aliyun.sdk.service.oss2.OSSClient;
import com.aliyun.sdk.service.oss2.credentials.CredentialsProvider;
import com.aliyun.sdk.service.oss2.credentials.StaticCredentialsProvider;
import com.aliyun.sdk.service.oss2.models.*;
public class SetObjectAcl {
public static void main(String[] args) {
String bucketName = "example-bucket";
String objectName = "example.txt";
String accessKeyId = System.getenv("OSS_ACCESS_KEY_ID");
String accessKeySecret = System.getenv("OSS_ACCESS_KEY_SECRET");
CredentialsProvider provider = new StaticCredentialsProvider(accessKeyId, accessKeySecret);
try (OSSClient client = OSSClient.newBuilder()
.credentialsProvider(provider)
.region("<region-id>")
.build()) {
// オブジェクト ACL を非公開に設定します。
// 有効な値:「private」、「public-read」、「public-read-write」、「default」
PutObjectAclRequest putRequest = PutObjectAclRequest.newBuilder()
.bucket(bucketName)
.key(objectName)
.objectAcl("private")
.build();
PutObjectAclResult putResult = client.putObjectAcl(putRequest);
System.out.println("Object ACL set successfully. RequestId: " + putResult.requestId());
// オブジェクト ACL を取得します。
GetObjectAclRequest getRequest = GetObjectAclRequest.newBuilder()
.bucket(bucketName)
.key(objectName)
.build();
GetObjectAclResult getResult = client.getObjectAcl(getRequest);
System.out.println("Current Object ACL: " + getResult.accessControlPolicy().accessControlList().grant());
} catch (Exception e) {
System.err.println("Operation failed: " + e.getMessage());
}
}
}
#!/usr/bin/env python3
# -*- coding: utf-8 -*-
# この例では、オブジェクトのアクセス制御リスト (ACL) を設定する方法を示します。
# 開始する前に、OSS_ACCESS_KEY_ID および OSS_ACCESS_KEY_SECRET 環境変数を設定してください。
import alibabacloud_oss_v2 as oss
def main() -> None:
bucket_name = "example-bucket"
object_name = "example.txt"
credentials_provider = oss.credentials.EnvironmentVariableCredentialsProvider()
cfg = oss.config.load_default()
cfg.credentials_provider = credentials_provider
cfg.region = "<region-id>"
client = oss.Client(cfg)
# オブジェクト ACL を非公開に設定します。
# 有効な値:「private」、「public-read」、「public-read-write」、「default」
put_result = client.put_object_acl(oss.PutObjectAclRequest(
bucket=bucket_name,
key=object_name,
acl="private"
))
print(f"Object ACL set successfully. RequestId: {put_result.request_id}")
# オブジェクト ACL を取得します。
get_result = client.get_object_acl(oss.GetObjectAclRequest(
bucket=bucket_name,
key=object_name
))
print(f"Current Object ACL: {get_result.acl}")
if __name__ == "__main__":
main()
// この例では、オブジェクトのアクセス制御リスト (ACL) を設定する方法を示します。
// 開始する前に、OSS_ACCESS_KEY_ID および OSS_ACCESS_KEY_SECRET 環境変数を設定してください。
package main
import (
"context"
"log"
"github.com/aliyun/alibabacloud-oss-go-sdk-v2/oss"
"github.com/aliyun/alibabacloud-oss-go-sdk-v2/oss/credentials"
)
func main() {
bucketName := "example-bucket"
objectName := "example.txt"
cfg := oss.LoadDefaultConfig().
WithCredentialsProvider(credentials.NewEnvironmentVariableCredentialsProvider()).
WithRegion("<region-id>")
client := oss.NewClient(cfg)
// オブジェクト ACL を非公開に設定します。
// 有効な値:oss.ObjectACLPrivate, oss.ObjectACLPublicRead, oss.ObjectACLPublicReadWrite, oss.ObjectACLDefault
putResult, err := client.PutObjectAcl(context.TODO(), &oss.PutObjectAclRequest{
Bucket: oss.Ptr(bucketName),
Key: oss.Ptr(objectName),
Acl: oss.ObjectACLPrivate,
})
if err != nil {
log.Fatalf("Failed to set object ACL: %v", err)
}
log.Printf("Object ACL set successfully. RequestId: %s", putResult.Headers.Get("X-Oss-Request-Id"))
// オブジェクト ACL を取得します。
getResult, err := client.GetObjectAcl(context.TODO(), &oss.GetObjectAclRequest{
Bucket: oss.Ptr(bucketName),
Key: oss.Ptr(objectName),
})
if err != nil {
log.Fatalf("Failed to get object ACL: %v", err)
}
log.Printf("Current Object ACL: %s", *getResult.ACL)
}
<?php
// この例では、オブジェクトのアクセス制御リスト (ACL) を設定する方法を示します。
// 開始する前に、OSS_ACCESS_KEY_ID および OSS_ACCESS_KEY_SECRET 環境変数を設定してください。
require_once __DIR__ . '/vendor/autoload.php';
use AlibabaCloud\Oss\V2 as Oss;
$bucketName = 'example-bucket';
$objectName = 'example.txt';
$credentialsProvider = new Oss\Credentials\EnvironmentVariableCredentialsProvider();
$cfg = Oss\Config::loadDefault();
$cfg->setCredentialsProvider($credentialsProvider);
$cfg->setRegion('<region-id>');
$client = new Oss\Client($cfg);
try {
// オブジェクト ACL を非公開に設定します。
// 有効な値:ObjectACLType::PRIVATE, ObjectACLType::PUBLIC_READ, ObjectACLType::PUBLIC_READ_WRITE, ObjectACLType::DEFAULT
$putResult = $client->putObjectAcl(new Oss\Models\PutObjectAclRequest(
bucket: $bucketName,
key: $objectName,
acl: Oss\Models\ObjectACLType::PRIVATE
));
printf("Object ACL set successfully. RequestId: %s\n", $putResult->requestId);
// オブジェクト ACL を取得します。
$getResult = $client->getObjectAcl(new Oss\Models\GetObjectAclRequest(
bucket: $bucketName,
key: $objectName
));
printf("Current Object ACL: %s\n", $getResult->accessControlList->grant);
} catch (Exception $e) {
printf("Operation failed: %s\n", $e->getMessage());
}
// この例では、オブジェクトのアクセス制御リスト (ACL) を設定する方法を示します。
// 開始する前に、OSS_ACCESS_KEY_ID および OSS_ACCESS_KEY_SECRET 環境変数を設定してください。
using OSS = AlibabaCloud.OSS.V2;
var bucketName = "example-bucket";
var objectName = "example.txt";
var region = "<region-id>";
var cfg = OSS.Configuration.LoadDefault();
cfg.CredentialsProvider = new OSS.Credentials.EnvironmentVariableCredentialsProvider();
cfg.Region = region;
using var client = new OSS.Client(cfg);
try
{
// オブジェクト ACL を非公開に設定します。
// 有効な値:「private」、「public-read」、「public-read-write」、「default」
var putResult = await client.PutObjectAclAsync(new OSS.Models.PutObjectAclRequest()
{
Bucket = bucketName,
Key = objectName,
Acl = "private"
});
Console.WriteLine($"Object ACL set successfully. RequestId: {putResult.RequestId}");
// オブジェクト ACL を取得します。
var getResult = await client.GetObjectAclAsync(new OSS.Models.GetObjectAclRequest()
{
Bucket = bucketName,
Key = objectName
});
Console.WriteLine($"Current Object ACL: {getResult.AccessControlPolicy?.AccessControlList?.Grant}");
}
catch (Exception ex)
{
Console.WriteLine($"Operation failed: {ex.Message}");
}
// この例では、オブジェクトのアクセス制御リスト (ACL) を設定する方法を示します。
// 開始する前に、OSS_ACCESS_KEY_ID および OSS_ACCESS_KEY_SECRET 環境変数を設定してください。
const OSS = require('ali-oss');
async function main() {
const bucketName = 'example-bucket';
const objectName = 'example.txt';
const client = new OSS({
region: 'oss-<region-id>',
accessKeyId: process.env.OSS_ACCESS_KEY_ID,
accessKeySecret: process.env.OSS_ACCESS_KEY_SECRET,
bucket: bucketName,
authorizationV4: true,
});
try {
// オブジェクト ACL を非公開に設定します。
// 有効な値:「private」、「public-read」、「public-read-write」、「default」
await client.putACL(objectName, 'private');
console.log('Object ACL set successfully');
// オブジェクト ACL を取得します。
const result = await client.getACL(objectName);
console.log(`Current Object ACL: ${result.acl}`);
} catch (err) {
console.error('Operation failed:', err.message);
}
}
main();
よくある質問
非公開オブジェクトを他のユーザーと一時的に共有する方法
署名付き URL を生成して他のユーザーと共有できます。これにより、オブジェクト ACL を変更することなく、指定された期間、他のユーザーが非公開オブジェクトにアクセスできるようになります。
参考資料
シナリオで広範なカスタマイズが必要な場合は、REST API リクエストを直接行うことができます。REST API リクエストを直接行う場合は、署名を手動で計算するコードを記述する必要があることにご注意ください。詳細については、「PutObjectACL」をご参照ください。
バケット内の指定されたプレフィックスを持つファイルに対する読み取り専用または書き込み専用の権限など、長期的で詳細な権限を他のユーザーに付与するには、バケットポリシーまたは RAM ポリシーを使用できます。
他のユーザーに一時的に詳細な権限を付与するには、Security Token Service (STS) の一時的な権限付与を使用できます。詳細については、「STS の一時的なアクセス認証情報を使用して OSS にアクセスする」をご参照ください。