RAM (Resource Access Management) ポリシーは、ユーザーベースの権限付与ポリシーです。 RAMポリシーを設定して、OSS (Object Storage Service) のリソースへのユーザーアクセスを管理できます。
背景情報
RAMポリシーの構文と構造
RAMポリシーには、バージョン番号とステートメントのリストが含まれます。 各ステートメントには、Effect、Action、Resource、およびConditionの要素が含まれています。 Condition要素はオプションです。 RAMポリシーの構文と構造の詳細については、「ポリシー構造と構文」をご参照ください。
RAMのポリシーで要素を使用するのと同じ方法で、OSSのRAMポリシーでVersion、Statement、およびEffect要素を使用できます。OSSのRAMポリシーでAction、Resource、Condition要素を使用する方法の詳細については、このトピックの以下のセクションを参照してください。
OSSの一般的なRAMポリシー
AliyunOSSFullAccess: RAMユーザーにOSSリソースに対する完全な権限を付与します。
AliyunOSSReadOnlyAccess: RAMユーザーにOSSリソースに対する読み取り専用権限を付与します。
アクセス制御
OSSでサポートされているアクセス制御方法の詳細については、「概要」をご参照ください。
OSSのRAMポリシーのアクション要素
OSSのRAMポリシーは、サービスレベル、バケットレベル、およびオブジェクトレベルの操作をサポートしています。
サービスレベル操作
API
Action
説明
oss:ListBuckets
リクエスタが所有するすべてのバケットを一覧表示します。
oss:ListUserDataRedundancyTransition
リクエスタのすべての冗長タイプ変更タスクを一覧表示します。
非該当
oss:ActivateProduct
OSSを有効にし、コンテンツリスク検出を有効にします。
非該当
oss:CreateOrder
OSSリソースプランの注文
.oss:PutPublicAccessBlock
OSSリソースに対するパブリックアクセスのブロックを有効にします。
oss:GetPublicAccessBlock
OSSリソースのブロックパブリックアクセス設定を照会します。
oss:DeletePublicAccessBlock
OSSリソースのブロックパブリックアクセス設定を削除します。
バケットレベルの操作
API
Action
説明
oss:PutBucket
バケットを作成します。
oss:ListObjects
バケット内のすべてのオブジェクトを一覧表示します。
oss:GetBucketInfo
バケットに関する情報をクエリします。
oss:GetBucketLocation
バケットの位置情報を照会します。
oss:PutBucketVersioning
バケットのバージョン管理状態を設定します。
oss:GetBucketVersioning
バケットのバージョン管理状態を照会します。
oss:ListObjectVersions
削除マーカーを含む、バケット内のすべてのオブジェクトのバージョンを一覧表示します。
oss:PutBucketAcl
バケットのアクセス制御リスト (ACL) を設定または変更します。
oss:GetBucketAcl
バケットの ACL を照会します。
oss:DeleteBucket
バケットを削除します。
oss:InitiateBucketWorm
保持ポリシーを作成します。
oss:AbortBucketWorm
ロック解除された保持ポリシーを削除します。
oss:CompleteBucketWorm
保持ポリシーをロックします。
oss:ExtendBucketWorm
保持ポリシーがロックされているバケット内のオブジェクトの保持期間 (日数) を延長します。
oss:GetBucketWorm
バケットの保持ポリシーを照会します。
oss:PutBucketLogging
バケットに対するロギングを有効化します。
oss:GetBucketLogging
バケットのロギング設定を照会します。
oss:DeleteBucketLogging
バケットに対するロギングを無効化します。
oss:PutBucketWebsite
バケットの静的 Web サイトホスティングを有効化し、バケットのリダイレクションルールを設定します。
oss:GetBucketWebsite
静的Webサイトホスティングステータスとバケットのリダイレクションルールを照会します。
oss:DeleteBucketWebsite
バケットの静的 Web サイトホスティングを無効化し、バケットのリダイレクションルールを削除します。
oss:PutBucketReferer
バケットのホットリンク保護を設定します。
oss:GetBucketReferer
バケットのホットリンク保護構成を照会します。
oss:PutBucketLifecycle
バケットのライフサイクルルールを設定します。
oss:GetBucketLifecycle
バケットのライフサイクルルールを照会します。
oss:DeleteBucketLifecycle
バケットのライフサイクルルールを削除します。
oss:PutBucketTransferAcceleration
バケットの転送アクセラレーションを設定します。
oss:GetBucketTransferAcceleration
バケットの転送アクセラレーション設定を照会します。
oss:ListMultipartUploads
開始後、完了またはキャンセルされていないタスクを含む、進行中のすべてのマルチパートアップロードタスクを一覧表示します。
oss:PutBucketCors
バケットのクロスオリジンリソース共有 (CORS) ルールを設定します。
oss:GetBucketCors
バケットの CORS ルールをクエリします。
oss:DeleteBucketCors
バケットのCORSを無効にし、バケットのすべてのCORSルールを削除します。
oss:PutBucketPolicy
バケットのポリシーを設定します。
oss:GetBucketPolicy
バケットのポリシーを照会します。
oss:DeleteBucketPolicy
バケットのポリシーを削除します。
oss:PutBucketTagging
バケットにタグを追加、またはバケットのタグを変更します。
oss:GetBucketTagging
バケットのタグを照会します。
oss:DeleteBucketTagging
バケットのタグを削除します。
oss:PutBucketEncryption
バケットの暗号化ルールを設定します。
oss:GetBucketEncryption
バケットの暗号化ルールを照会します。
oss:DeleteBucketEncryption
バケットの暗号化ルールを削除します。
oss:PutBucketRequestPayment
バケットに対してリクエスト元課金を有効化します。
oss:GetBucketRequestPayment
バケットのpay-by-requester設定を照会します。
oss:PutBucketReplication
バケットのデータレプリケーションルールを設定します。
oss:PutBucketRTC
既存のクロスリージョンレプリケーション (CRR) ルールのレプリケーション時間制御 (RTC) を有効または無効にします。
oss:GetBucketReplication
バケットのデータレプリケーションルールを照会します。
oss:DeleteBucketReplication
バケットのデータ複製タスクを停止し、バケットのデータ複製設定を削除します。
oss:GetBucketReplicationLocation
データをレプリケートできる宛先バケットのリージョンを照会します。
oss:GetBucketReplicationProgress
バケットのデータ複製タスクの進行状況を照会します。
oss:PutBucketInventory
バケットのインベントリを設定します。
oss:GetBucketInventory
バケットの特定のインベントリを照会します。
oss:GetBucketInventory
バケットのすべてのインベントリを照会します。
oss:DeleteBucketInventory
バケットの特定のインベントリを削除します。
oss:PutBucketAccessMonitor
バケットのアクセス追跡ステータスを設定します。
oss:GetBucketAccessMonitor
バケットのアクセス追跡ステータスを照会します。
oss:OpenMetaQuery
バケットのメタデータ管理を有効にします。
oss:GetMetaQueryStatus
バケットのメタデータインデックスライブラリを照会します。
oss:DoMetaQuery
特定の条件を満たすオブジェクトを照会し、特定のフィールドとソート方法に基づいてオブジェクト情報を一覧表示します。
oss:CloseMetaQuery
バケットのメタデータ管理を無効にします。
oss:InitUserAntiDDosInfo
Anti-DDoSインスタンスを作成します。
oss:UpdateUserAntiDDosInfo
Anti-DDoSインスタンスのステータスを変更します。
oss:GetUserAntiDDosInfo
Alibaba Cloudアカウントに属するAnti-DDoSインスタンスに関する情報を照会します。
oss:InitBucketAntiDDosInfo
バケットのAnti-DDoSインスタンスを初期化します。
oss:UpdateBucketAntiDDosInfo
バケットのAnti-DDoSインスタンスのステータスを更新します。
oss:ListBucketAntiDDosInfo
バケットのAnti-DDoSインスタンスの保護リストを照会します。
oss:PutBucketResourceGroup
バケットが属するリソースグループを設定します。
oss:GetBucketResourceGroup
バケットが属するリソースグループのIDを照会します。
oss:CreateCnameToken
ドメイン名の所有権を検証するために使用されるCNAMEトークンを作成します。
oss:GetCnameToken
既存のCNAMEトークンを照会します。
oss:PutCname
カスタムドメイン名をバケットにマップします。
oss:ListCname
バケットにマップされているすべてのカスタムドメイン名を照会します。
oss:DeleteCname
カスタムドメイン名をバケットにマッピングするCNAMEレコードを削除します。
oss:PutStyle
画像スタイルを設定します。
oss:GetStyle
画像スタイルを照会します。
oss:ListStyle
画像スタイルを一覧表示します。
oss:DeleteStyle
画像スタイルを削除します。
oss:PutBucketArchiveDirectRead
バケットのアーカイブオブジェクトのリアルタイムアクセスを有効または無効にします。
oss:GetBucketArchiveDirectRead
バケットに対してアーカイブオブジェクトのリアルタイムアクセスが有効になっているかどうかを照会します。
oss:CreateAccessPoint
アクセスポイントを作成します。
oss:GetAccessPoint
アクセスポイントに関する情報を照会します。
oss:DeleteAccessPoint
アクセスポイントを削除します。
oss:ListAccessPoints
ユーザーレベルまたはバケットレベルのアクセスポイントを照会します。
oss:PutAccessPointPolicy
アクセスポイントポリシーを設定します。
oss:GetAccessPointPolicy
アクセスポイントポリシーに関する情報を照会します。
oss:DeleteAccessPointPolicy
アクセスポイントポリシーを削除します。
oss:PutBucketHttpsConfig
バケットのTransport Layer Security (TLS) バージョン管理を有効または無効にします。
oss:GetBucketHttpsConfig
バケットのTLSバージョン設定を照会します。
非該当
oss:ReplicateList
レプリケーションプロセスのアクセス許可を一覧表示します。 ソースバケット内の履歴データを一覧表示し、履歴データを宛先バケットにレプリケートします。
oss:CreateAccessPointForObjectProcess
オブジェクトFCアクセスポイントを作成します。
oss:GetAccessPointForObjectProcess
オブジェクトFCアクセスポイントに関する基本情報を照会します。
oss:DeleteAccessPointForObjectProcess
オブジェクトFCアクセスポイントを削除します。
oss:ListAccessPointsForObjectProcess
ユーザーレベルのObject FCアクセスポイントに関する情報を照会します。
oss:PutAccessPointConfigForObjectProcess
オブジェクトFCアクセスポイントの設定を変更します。
oss:GetAccessPointConfigForObjectProcess
オブジェクトFCアクセスポイントの設定を照会します。
oss:PutAccessPointPolicyForObjectProcess
オブジェクトFCアクセスポイントのポリシーを設定します。
oss:GetAccessPointPolicyForObjectProcess
オブジェクトFCアクセスポイントのポリシーを照会します。
oss:DeleteAccessPointPolicyForObjectProcess
オブジェクトFCアクセスポイントのポリシーを削除します。
oss:WriteGetObjectResponse
カスタムレスポンスヘッダーとレスポンスデータを設定します。
oss:CreateBucketDataRedundancyTransition
バケットの冗長型変換タスクを作成します。
oss:GetBucketDataRedundancyTransition
バケットの冗長型変換タスクを照会します。
oss:DeleteBucketDataRedundancyTransition
バケットの冗長型変換タスクを削除します。
oss:ListBucketDataRedundancyTransition
バケットのすべての冗長型変換タスクを一覧表示します。
oss:PutBucketPublicAccessBlock
バケットのパブリックアクセスのブロックを有効にします。
oss:GetBucketPublicAccessBlock
バケットのブロックパブリックアクセス設定を照会します。
oss:DeleteBucketPublicAccessBlock
バケットのブロックパブリックアクセス設定を削除します。
oss:PutAccessPointPublicAccessBlock
アクセスポイントのブロックパブリックアクセスを有効にします。
oss:GetAccessPointPublicAccessBlock
アクセスポイントのブロックパブリックアクセス設定を照会します。
oss:DeleteAccessPointPublicAccessBlock
アクセスポイントのブロックパブリックアクセス設定を削除します。
oss:GetBucketPolicyStatus
現在のバケットポリシーがパブリックアクセスを許可しているかどうかを確認します。
オブジェクトレベルの操作
説明オブジェクトのアップロード時にオブジェクトタグが設定されている場合は、
oss:PutObjectおよびoss:PutObjectTagging権限が必要です。API
Action
説明
oss:PutObject
オブジェクトをアップロードします。
oss:PutObject
HTMLフォームを使用してオブジェクトをバケットにアップロードします。
oss:PutObject
追加アップロードを使用してオブジェクトをアップロードします。
oss:PutObject
マルチパートアップロードタスクを開始します。
oss:PutObject
オブジェクト名とアップロードIDに基づいて、オブジェクトをパーツごとにアップロードします。
oss:PutObject
オブジェクトのすべてのパーツがアップロードされた後、オブジェクトのマルチパートアップロードタスクを完了します。
oss:AbortMultipartUpload
マルチパートアップロードタスクをキャンセルし、アップロードされたパーツを削除します。
oss:PutObject
オブジェクトのシンボリックリンクを作成します。
oss:GetObject
オブジェクトを照会します。
oss:GetObject
オブジェクトメタデータを照会します。
oss:GetObject
ETag、オブジェクトサイズ、最終変更時刻など、オブジェクトのメタデータを照会します。
oss:GetObject
オブジェクトに対してSQL文を実行し、実行結果を照会します。
oss:GetObject
オブジェクトのシンボリックリンクを照会します。
oss:DeleteObject
オブジェクトを削除します。
oss:DeleteObject
一度にバケットから複数のオブジェクトを削除します。
oss:GetObject
oss:PutObject
オブジェクトを同じバケットまたは同じリージョン内の別のバケットにコピーします。
oss:GetObject
oss:PutObject
x-oss-copy-sourceヘッダーをUploadPartリクエストに追加して、既存のオブジェクトからデータをコピーしてパーツをアップロードします。
oss:ListParts
アップロードIDを使用してアップロードされるすべての部品を一覧表示します。
oss:PutObjectAcl
バケット内のオブジェクトのACLを変更します。
oss:GetObjectAcl
バケット内のオブジェクトのACLを照会します。
oss:RestoreObject
アーカイブ、コールドアーカイブ、およびDeep Cold Archiveオブジェクトを復元します。
oss:PutObjectTagging
オブジェクトにタグを追加、またはオブジェクトのタグを変更します。
oss:GetObjectTagging
オブジェクトのタグを照会します。
oss:DeleteObjectTagging
オブジェクトのタグを削除します。
GetObject (リクエストでバージョンIDを指定)
oss:GetObjectVersion
オブジェクトの特定のバージョンをダウンロードします。
PutObjectACL (リクエストにバージョンIDを指定)
oss:PutObjectVersionAcl
オブジェクトの特定のバージョンのACLを変更します。
GetObjectACL (リクエストでバージョンIDを指定)
oss:GetObjectVersionAcl
オブジェクトの特定のバージョンのACLを照会します。
RestoreObject (リクエストでバージョンIDを指定)
oss:RestoreObjectVersion
アーカイブ、コールドアーカイブ、またはDeep Cold Archiveオブジェクトの特定のバージョンを復元します。
DeleteObject (リクエストでバージョンIDを指定)
oss:DeleteObjectVersion
オブジェクトの特定のバージョンを削除します。
PutObjectTagging (リクエストでバージョンIDを指定)
oss:PutObjectVersionTagging
オブジェクトの特定のバージョンのタグにタグを追加または変更します。
GetObjectTagging (リクエストでバージョンIDを指定)
oss:GetObjectVersionTagging
オブジェクトの特定のバージョンのタグを照会します。
DeleteObjectTagging (リクエストでバージョンIDを指定)
oss:DeleteObjectVersionTagging
オブジェクトの特定のバージョンのタグを削除します。
oss:PutLiveChannel
リアルタイムメッセージングプロトコル (RTMP) を使用してオーディオおよびビデオデータをアップロードする前に、LiveChannelを作成します。
oss:ListLiveChannel
特定のLiveChannelsをリストします。
oss:DeleteLiveChannel
LiveChannel を削除します。
oss:PutLiveChannelStatus
LiveChannelのステータスを有効または無効に変更します。
oss:GetLiveChannel
LiveChannelの設定を照会します。
oss:GetLiveChannelStat
LiveChannelのストリーム取り込みステータスを照会します。
oss:GetLiveChannelHistory
LiveChannelのストリーム取り込みレコードを照会します。
oss:PostVodPlaylist
LiveChannelのビデオオンデマンド (VOD) プレイリストを生成します。
oss:GetVodPlaylist
特定の時間範囲内にLiveChannelに取り込まれたストリームによって生成されたプレイリストを照会します。
非該当
oss:PublishRtmpStream
RTMP経由でOSSにビデオストリームとオーディオストリームを取り込みます。
oss:PostProcessTask
処理した画像をバケットに保存します。
非該当
oss:ReplicateGet
レプリケーションプロセスの読み取り権限。 オブジェクト、パーツ、マルチパートアップロードタスクなどのデータレプリケーションタスクで、OSSがソースバケットと宛先バケットからデータとメタデータを読み取ることを許可します。
非該当
oss:ReplicatePut
レプリケーションプロセスの書き込み権限。 オブジェクトの書き込み、マルチパートアップロードタスクの実行、パーツのアップロード、シンボリックリンクの設定、オブジェクトメタデータの変更など、データレプリケーションタスクの宛先バケットに対する書き込み操作をOSSが実行できるようにします。
非該当
oss:ReplicateDelete
レプリケーションプロセスの削除権限。 OSSが、DeleteObject、AbortMultipartUpload、DeleteMarkerなどのデータレプリケーションタスクで宛先バケットに対して削除操作を実行できるようにします。
重要この操作は、レプリケーションポリシーを追加 /削除 /変更に設定した場合にのみ必要です。
OSSのRAMポリシーのリソース要素
OSSのRAMポリシーでは、Resource要素は1つ以上の特定のリソースを指定します。 この要素は、アスタリスク (*) ワイルドカード文字をサポートします。 RAMポリシーには複数のリソース要素を含めることができます。
カテゴリ | Format | 例 |
バケットレベルのリソース |
|
|
オブジェクトレベルのリソース |
|
|
リージョンフィールドは、アスタリスク (*) ワイルドカード文字にのみ設定できます。
OSSのRAMポリシーの条件要素
Condition要素は、ポリシーが有効になるために必要な条件を指定します。 各Condition要素は、条件演算子、条件キー、および条件値で構成されます。 詳細については、「条件」をご参照ください。
次の表に、条件演算子と条件キーのカテゴリを示します。
条件演算子のカテゴリ
カテゴリ
条件付き演算子
String
StringEquals
StringNotEquals
StringEqualsIgnoreCase
StringNotEqualsIgnoreCase
StringLike
StringNotLike
Number
NumericEquals
NumericNotEquals
NumericLessThan
NumericLessThanEquals
NumericGreaterThan
NumericGreaterThanEquals
日付と時刻
DateEquals
DateNotEquals
DateLessThan
DateLessThanEquals
DateGreaterThan
DateGreaterThanEquals
Boolean
Bool
IP アドレス
IpAddress
NotIpAddress
IpAddressIncludeBorder
条件キー
条件キー
説明
acs:SourceIp
リクエストの送信元のCIDRブロック。 この条件は、アスタリスク (*) ワイルドカード文字をサポートします。
acs:SourceVpc
リクエストの送信元のVPC。 このパラメーターを特定のVPC IDまたはvpc-* に設定できます。
重要acs:SourceVpcを使用してVPCを制限する場合、VPCのリージョンがOSSでサポートされているゲートウェイエンドポイントのリージョンと一致することを確認します。 そうしないと、認証リクエストを対応するVPCに関連付けることができず、認証が失敗します。 詳細については、「OSSでサポートされているゲートウェイエンドポイントのリージョン」をご参照ください。acs:UserAgent
HTTPリクエストのUser-Agentヘッダー。
タイプ: string。
acs:CurrentTime
リクエストがOSSサーバーによって受信された時点。
標準: ISO 8601。
acs:SecureTransport
セキュアなデータ転送にHTTPSを使用するかどうかを指定します。 有効な値:
true: HTTPSリクエストのみ許可されます。
false: HTTPリクエストのみ許可されます。
acs:SecureTransport条件が指定されていない場合、HTTPSおよびHTTPリクエストが許可されます。oss:x-oss-acl
バケットのACL。 有効な値:
プライベート
パブリック読み取り
public-read-write
詳細については、「バケットACL」をご参照ください。
oss:x-oss-object-acl
オブジェクトのACL。 有効な値:
プライベート
パブリック読み取り
public-read-write
デフォルト: オブジェクトのACLは、オブジェクトが格納されているバケットのACLと同じです。
詳細については、「オブジェクトACL」をご参照ください。
oss:Prefix
ListObjects操作を呼び出して一覧表示するオブジェクトの名前のプレフィックス。
oss:Delimiter
ListObjects操作を呼び出して一覧表示するオブジェクトの名前をグループ化するために使用される文字。
acs:AccessId
リクエスト内のAccessKey ID。
oss:BucketTag
バケットのタグ。
単一のバケットタグを条件として使用できます。 複数のバケットタグを複数の条件として指定するには、各バケットタグの前に
oss:BucketTag/を追加する必要があります。acs:MFAPresent
多要素認証 (MFA) を有効にするかどうかを指定します。
有効な値:
true
false
oss:ExistingObjectTag
要求されたオブジェクトにタグがあることを指定します。
単一のオブジェクトタグを条件として使用できます。 複数のオブジェクトタグを複数の条件として指定するには、各オブジェクトタグの前に
oss:ExistingObjectTag/を追加する必要があります。この条件は、GetObjectやHeadObjectなどのオブジェクトを読み取るために呼び出される操作と、PutObjectTaggingやGetObjectTaggingなどのオブジェクトタグに関連する操作に適用されます。
oss:RequestObjectTag
リクエスト内のオブジェクトタグ。
単一のオブジェクトタグを条件として使用できます。 複数のオブジェクトタグを複数の条件として指定するには、各オブジェクトタグの前に
oss:RequestObjectTag/を追加する必要があります。この条件は、PutObjectやPostObjectなどのオブジェクトの書き込みに呼び出される操作と、PutObjectTaggingやGetObjectTaggingなどのオブジェクトタグに関連する操作に適用されます。
例
RAMポリシーを使用して、さまざまなシナリオのユーザーに権限を付与できます。 詳細については、「RAMポリシーの一般的な例」をご参照ください。