ユーザーポリシー、バケットポリシー、バケットACL、オブジェクトACLの間の違いについては表1のとおりです。
表1 権限承認方式の違いの比較
比較項目 | ユーザーポリシー | バケットポリシー | バケットACL | オブジェクトACL | |
---|---|---|---|---|---|
分類 | ユーザーベースの権限承認 | リソースベースの権限承認 | リソースベースの権限承認 | リソースベースの権限承認 | |
権限制御の柔軟性の程度 | 柔軟性が高い | 柔軟性が高い | 柔軟性が低い | 柔軟性が低い | |
コンソール設定 | CAMコンソール | COSコンソール | COSコンソール | COSコンソール | |
ア ク セ ス 制 御 要 素 |
ユーザー | このアカウントが管理するすべてのCAM ID(サブアカウント、ロールなど) | サブアカウント、ルートアカウント、匿名ユーザー | サブアカウント、他のルートアカウント、匿名ユーザー | サブアカウント、他のルートアカウント、匿名ユーザー |
サブアカウントのTencent Cloudサービス、ロールなど | |||||
クロスアカウント権限承認を行う場合は先にコラボレーターとしての追加が必要 | クロスアカウント権限承認を直接サポート | ||||
エフェクト | 許可+拒否 | 許可+拒否 | 許可のみ | 許可のみ | |
リソース | すべてのリソース、COSのすべてのバケット、指定のバケット(プレフィックス、オブジェクトなど) | 指定のバケット(プレフィックス、オブジェクトなど) | バケット全体 | 指定のオブジェクト | |
アクション | 具体的な各アクション | 具体的な各アクション(バケット作成、バケットリストアップを除く) | 簡略化された読み取り/書き込み権限 | 簡略化された読み取り/書き込み権限 | |
条件 | サポートしています | サポートしています | サポートしていません | サポートしていません |
表1に列記した違いから、それぞれの権限承認方式の優劣を判断し、お客様ご自身の必要性に応じて適切な権限承認方式をご選択いただくことができます。
ただし、どの方式を選択する場合でも、できる限り統一性を保つことをお勧めします。バケットポリシー、ユーザーポリシー、ACLの数が増えるにつれて、権限の維持管理が難しくなります。
注意:匿名ユーザーにアクセスを開放すること(パブリック読み取り)はハイリスクな操作であり、トラフィックが不正使用される危険性があります。やむを得ずパブリック読み取りを使用する場合は、リンク不正アクセス防止の設定によってセキュリティ保護を実行できます。
バケットとオブジェクトに簡単なアクセス権限のみを設定したい場合、または匿名ユーザーにアクセスを開放したい場合はACLを選択できます。ただし、より多くの状況下では、バケットポリシーまたはユーザーポリシーの方が柔軟性が高いため、これらを優先的に使用することをお勧めします。
ユーザーが行えることについてお知りになりたい場合は、ユーザーポリシーを推奨します。CAMユーザーを検索し、その所属するユーザーグループの権限を確認することで、ユーザーが何を行うことができるかを知ることができます。次のようなケースで推奨されます。
そのCOSバケットに誰がアクセス可能かをお知りになりたい場合は、バケットポリシーの使用をお勧めします。バケットを検索し、バケットポリシーをチェックすることで、アクセス可能な人が誰かを知ることができます。次のようなケースで推奨されます。
この記事はお役に立ちましたか?