tencent cloud

Cloud Object Storage

最新情報とお知らせ
製品アップデート情報
製品のお知らせ
製品概要
製品概要
機能概要
応用シナリオ
製品の優位性
基本概念
リージョンとアクセスドメイン名
仕様と制限
製品の課金
課金概要
課金方式
課金項目
無料利用枠
記帳例
請求書の確認とダウンロード
お支払い遅れについて
よくある質問
クイックスタート
コンソールクイックスタート
COSBrowserクイックスタート
ユーザーガイド
リクエストの作成
バケット
オブジェクト
データ管理
バッチ処理
グローバルアクセラレーション
監視とアラーム
運用管理センター
データ処理
インテリジェントツールボックス使用ガイド
データワークフロー
アプリ統合
ツールガイド
ツール概要
環境のインストールと設定
COSBrowserツール
COSCLIツール
COSCMDツール
COS Migrationツール
FTP Serverツール
Hadoopツール
COSDistCpツール
HDFS TO COSツール
オンラインツール (Onrain Tsūru)
セルフ診断ツール
実践チュートリアル
概要
アクセス制御と権限管理
パフォーマンスの最適化
AWS S3 SDKを使用したCOSアクセス
データディザスタリカバリバックアップ
ドメイン名管理の実践
画像処理の実践
COSオーディオビデオプレーヤーの実践
データセキュリティ
データ検証
COSコスト最適化ソリューション
サードパーティアプリケーションでのCOSの使用
移行ガイド
サードパーティクラウドストレージのデータをCOSへ移行
データレークストレージ
クラウドネイティブデータレイク
メタデータアクセラレーション
データアクセラレーター GooseFS
データ処理
データ処理概要
画像処理
メディア処理
コンテンツ審査
ファイル処理
ドキュメントプレビュー
トラブルシューティング
RequestId取得の操作ガイド
パブリックネットワーク経由でのCOSへのファイルアップロード速度の遅さ
COSへのアクセス時に403エラーコードが返される
リソースアクセス異常
POST Objectの一般的な異常
セキュリティとコンプライアンス
データ災害復帰
データセキュリティ
クラウドアクセスマネジメント
よくある質問
よくあるご質問
一般的な問題
従量課金に関するご質問
ドメインコンプライアンスに関するご質問
バケット設定に関する質問
ドメイン名とCDNに関するご質問
ファイル操作に関するご質問
権限管理に関するご質問
データ処理に関するご質問
データセキュリティに関するご質問
署名付きURLに関するご質問
SDKクラスに関するご質問
ツール類に関するご質問
APIクラスに関するご質問
Agreements
Service Level Agreement
プライバシーポリシー
データ処理とセキュリティ契約
連絡先
用語集
ドキュメントCloud Object Storage実践チュートリアルアクセス制御と権限管理他のルートアカウント下のサブアカウントに対し、名前のバケットの操作権限を承認する

他のルートアカウント下のサブアカウントに対し、名前のバケットの操作権限を承認する

PDF
フォーカスモード
フォントサイズ
最終更新日: 2024-06-26 10:42:27

ユースケース

現在、ルートアカウントA(APPIDは1250000000)の名前の下にバケットexamplebucket1-1250000000examplebucket2-1250000000があり、これとは別にルートアカウントBとそのサブアカウントB0があります。B0は業務上の必要性により、アカウントA下の2つのバケットを操作したいとします。その場合の関連の権限承認操作の方法について以下でご説明します。

操作手順

ルートアカウントBにAの名前のバケットの操作権限を承認する

1. ルートアカウントAを使用してCOSコンソールにログインします。
2. バケットリストをクリックし、権限を承認したいバケットを見つけ、その名前をクリックしてバケット詳細ページに進みます。
3. 左側ナビゲーションバーで権限管理をクリックし、そのバケットの権限管理ページに進みます。
4. Policy権限設定の設定項目を見つけ、ポリシーの追加をクリックし、カスタムポリシーを選択して次のステップをクリックします。
5. 次のフォーマットの項目を入力します。
ポリシーID:未入力でもかまいません。
エフェクト:許可。
ユーザー:ユーザーをクリックして追加します。ユーザータイプはルートアカウントを選択し、アカウントIDにはルートアカウントBのUIN(例:100000000002)を入力します。
リソース:必要に応じて選択します。デフォルトではバケット全体です。
リソースパス:リソースを指定する場合のみ入力が必要です。必要に応じて入力します。
アクション:クリックしてアクションを追加し、すべてのアクションを選択します。一部のアクションにのみ権限を承認したい場合は、実際に必要なアクションを1つまたは複数選択することもできます。
条件:必要に応じて入力します。不要な場合は空にしておくことができます。
6. 完了をクリックします。この時点でルートアカウントBはこのバケットの操作に関するすべての権限を取得しています。
7. 他のバケットへの権限承認を行いたい場合は、上記の手順を繰り返してください。

サブアカウントB0にAの名前のバケットの操作権限を承認する

1. ルートアカウントBを使用してCloud Access Management(CAM)コンソールのポリシーページにログインします。
2. カスタムポリシーの新規作成 > ポリシー構文で作成を選択し、続いて空白テンプレートを選択し、次のステップをクリックします。
説明:
ルートアカウントBがサブアカウントB0に権限承認を行う場合は、カスタムポリシーによる権限承認のみ可能であり、プリセットポリシーによる権限承認は行えません。
3. 次のフォーマットに入力します。
ポリシー名:重複せず、かつ意味のあるポリシー名(例:cos-child-account)をご自身で定義します。
備考:オプションです。ご自身で入力します。
ポリシー内容
{
 "version": "2.0",
 "statement": [
  {
      "action": "cos:*",
      "effect": "allow",
            "resource": [ 
                "qcs::cos::uid/1250000000:examplebucket1-1250000000/*",
                "qcs::cos::uid/1250000000:examplebucket2-1250000000/*"
            ]
  }
 ]
}
上記のポリシーはメインアカウントBが操作権限を持っているAにおけるストレージバケットをすべてサブアカウントB0に許可することを示します。その中、uid/1250000000 の中の1250000000はメインアカウントのAのAPPIDであり、examplebucket1-1250000000examplebucket2-1250000000はメインアカウントBが操作権限を持っているAにおけるストレージバケットです。
4. 完了をクリックすると、ポリシーの作成が完了します。
5. ポリシーリストで先ほど作成したポリシーを見つけ、右側のユーザー/グループ/ロールのバインドをクリックします。
6. ポップアップウィンドウで、サブアカウントB0にチェックを入れ、OKをクリックします。
7. 権限承認操作が完了し、サブアカウントB0のキーを使用して、Aの名前のバケットのテスト操作を行うことができるようになります。
前の記事へ: 条件キーの説明および使用例次の記事へ: リクエスト速度とパフォーマンスの最適化

ヘルプとサポート

この記事はお役に立ちましたか?

フィードバック