Cloud Object Storage(COS)コンソールから、バケットにポリシーを追加して、ポリシーで設定されたCOSリソースへのアカウント、ソースIP(またはIPセグメント)のアクセスを許可または禁止することができます。バケットポリシーの概要やポリシー事例の関連情報については、アクセスポリシーの言語概要とバケットポリシーの例をご参照ください。次に、バケットポリシーを追加する方法について詳しくご説明します。
注意:ルートアカウントごとに、最大1000個のバケットACLルールを作成できます。
バケットを作成します。詳細については、バケットの作成のドキュメントをご参照ください。
グラフィック設定パネルで、ポリシーの追加をクリックし、ポップアップウィンドウでポリシーを設定します。操作手順は次のとおりです。
(1)テンプレートの選択
COSは、異なる被付与者やリソース範囲の組み合わせを選択することで、さまざまなポリシーテンプレートを提供し、バケットポリシーの速やかな設定を支援します。
*
と表記されます)。オブジェクトリスト(ListBucket)をリストアップしたり、バケット設定権限などの操作を匿名ユーザーに開放したりするのは危険なため、このオプションを選択すると、COSは対応するテンプレートを提供しません。必要な場合は、その後の「ポリシーの設定」において、ご自分で追加することができます。Note:
被付与者が指定のアカウントである場合、オブジェクトのリクエストの際に、ID認証用の署名を含める必要があります。署名に関する説明については、リクエスト署名をご参照ください。
被付与者をすべてのユーザーに指定している場合、オブジェクトのリクエストの際に署名を含める必要はなく、すべてのユーザーが直接リンクを通じてオブジェクトにアクセスできます。データ漏洩のリスクがありますので、慎重に設定してください。
リソース範囲
バケット全体:バケットの設定に関する権限を設定したい場合、またはリソース範囲としてバケット全体を指定したい場合は、この項目を選択できます。次の手順でポリシーを設定する際に、バケット全体がリソースとして自動的に追加されます。
ディレクトリの指定:リソースの範囲を指定したフォルダに限定したい場合、この項目を選択します。次の手順でポリシーを設定する際に、さらに具体的なディレクトリを指定する必要があります。この項目を選択した場合、このタイプの権限はリソースをバケット全体として指定する必要があるため、COSは、バケット設定に関するポリシーテンプレートを提供しません。
テンプレート:お客様が承認したい操作セットです。
カスタムポリシー(プリセット設定はご提供していません):テンプレートをご利用にならない場合はこの項目を選択し、次のステップの「ポリシーの設定」で、必要に応じてご自身でポリシーを追加できます。
その他のテンプレート:COSはお客様が選択した被付与者およびリソース範囲の組み合わせに基づき、それぞれに推奨するテンプレートをご提供します。必要なテンプレートにチェックを入れると、次のステップのポリシー設定で、COSが自動的に必要な操作を追加します。
Note: テンプレートで提供される承認操作がニーズに合わない場合は、次の「ポリシーの設定」の手順で承認操作を追加または削除することができます。
テンプレートの説明は次の表をご参照ください。
被付与者 | リソース範囲 | ポリシーテンプレート | 説明 |
---|---|---|---|
すべての組み合わせ | カスタムポリシー | 任意の被付与者、リソース範囲の組み合わせの場合、このテンプレートを選択するとプリセットポリシーのご提供は行われません。次のステップのポリシー設定で、ご自身でポリシーを直接追加することができます。 | |
すべてのユーザー(匿名アクセス可能) | バケット全体 | 読み取り専用オブジェクト(オブジェクトリストのリストアップを含まない) | 匿名ユーザーの場合、COSはファイル読み取り(ダウンロードなど)、ファイル書き込み(アップロード、変更など)の推奨テンプレートをご提供します。 COSの推奨テンプレートには、バケット内の全オブジェクトのリストアップ、読み取り/書き込み権限、バケット設定などのその他の機密性の高い権限は含まれず、他の余分な権限を開放しないようにすることで、データの安全性を高めています。 必要に応じて、後のステップでご自身で動作権限を追加または削除することができます。 |
読み取り/書き込みオブジェクト(オブジェクトリストのリストアップを含まない) | |||
指定ディレクトリ | 読み取り専用オブジェクト(オブジェクトリストのリストアップを含まない) | ||
読み取り/書き込みオブジェクト(オブジェクトリストのリストアップを含まない) | |||
指定ユーザー | バケット全体 | 読み取り専用オブジェクト(オブジェクトリストのリストアップを含まない) | 指定ユーザーとバケット全体の組み合わせの場合、COSは最も多くの推奨テンプレートをご提供します。ファイル読み取り、書き込みおよびファイルリストアップのほか、次のような機密性の高い権限のテンプレートも含まれ、これらは信頼できるユーザーへの使用に適しています。 バケットおよびオブジェクトACLの読み取り/書き込み:GetObjectACL、PutObjectACL、GetBucketACL、PutBucketACLを含む、バケットACLとオブジェクトACLを取得、変更します。 バケット一般設定項目:バケットタグ、クロスドメイン、back-to-originなどの機密性が高くない権限です。 バケットの機密性の高い設定項目:バケットポリシー、バケットACL、バケット削除などにかかわる機密性の高い権限であり、慎重に使用する必要があります。 |
読み取り専用オブジェクト(オブジェクトリストのリストアップを含む) | |||
読み取り/書き込みオブジェクト(オブジェクトリストのリストアップを含まない) | |||
読み取り/書き込みオブジェクト(オブジェクトリストのリストアップを含む) | |||
バケットおよびオブジェクトの読み取り/書き込みACL | |||
バケット一般設定項目 | |||
バケットの機密性の高い設定項目 | |||
指定ディレクトリ | 読み取り専用オブジェクト(オブジェクトリストのリストアップを含まない) | 指定ユーザーと指定ディレクトリの組み合わせの場合、COSはファイル読み取り(ダウンロードなど)、ファイル書き込み(アップロード、変更など)以外にも、オブジェクトリストのリストアップ権限を含む推奨テンプレートをご提供します。 指定したユーザー向けに指定したフォルダのファイルの読み取り、書き込み、リストアップ権限を開放したい場合は、この組み合わせを選択することをお勧めします。 必要に応じて、後のステップでご自身で動作権限を追加または削除することができます。 | |
読み取り専用オブジェクト(オブジェクトリストのリストアップを含む) | |||
読み取り/書き込みオブジェクト(オブジェクトリストのリストアップを含まない) | |||
読み取り/書き込みオブジェクト(オブジェクトリストのリストアップを含む) |
(2)ポリシーの設定
手順1で選択した被付与者、指定ディレクトリおよびテンプレートの組み合わせに対し、COSはポリシー設定において対応する操作、被付与者、リソースなどを自動的に追加します。お客様が指定ユーザー、指定ディレクトリを選択された場合は、ポリシー設定の際に具体的なユーザーUINとディレクトリを指定する必要があります。
COSがご提供する推奨テンプレートがニーズに合わない場合は、お客様ご自身でポリシーの内容を調整し、被付与者、リソースおよびアクションを追加または削除することもできます。設定項目の説明は次のとおりです。
*
)、ルートアカウント、サブアカウント、クラウドサービスを含む被付与者を追加、削除できます。(3)設定情報の確認
設定情報が正しいことを確認したら、完了をクリックします。このときにサブアカウントを使用してCOSコンソールにログインすると、ポリシーで設定されたリソースの範囲にしかアクセスできなくなります。
この記事はお役に立ちましたか?