tencent cloud

文档反馈

访问控制

最后更新时间:2022-05-11 12:10:09

    简介

    本文档提供关于存储桶、对象的访问控制列表(ACL)的相关 API 概览以及 SDK 示例代码。

    存储桶 ACL

    API 操作名 操作描述
    PUT Bucket acl 设置存储桶 ACL 设置指定存储桶的访问权限控制列表
    GET Bucket acl 查询存储桶 ACL 查询指定存储桶的访问控制列表

    对象 ACL

    API 操作名 操作描述
    PUT Object acl 设置对象 ACL 设置存储桶中某个对象的访问控制列表
    GET Object acl 查询对象 ACL 查询对象的访问控制列表

    存储桶 ACL

    设置存储桶 ACL

    功能说明

    设置指定存储桶的访问权限控制列表(PUT Bucket acl)。AccessControlPolicy 参数与其它权限参数是互斥的,无法同时指定。

    方法原型

    put_bucket_acl(Bucket, AccessControlPolicy={}, **kwargs)
    

    请求示例

    # -*- coding=utf-8
    from qcloud_cos import CosConfig
    from qcloud_cos import CosS3Client
    import sys
    import logging
    # 正常情况日志级别使用INFO,需要定位时可以修改为DEBUG,此时SDK会打印和服务端的通信信息
    logging.basicConfig(level=logging.INFO, stream=sys.stdout)
    # 1. 设置用户属性, 包括 secret_id, secret_key, region等。Appid 已在CosConfig中移除,请在参数 Bucket 中带上 Appid。Bucket 由 BucketName-Appid 组成
    secret_id = 'SecretId'     # 替换为用户的 SecretId,请登录访问管理控制台进行查看和管理,https://console.cloud.tencent.com/cam/capi
    secret_key = 'SecretKey'   # 替换为用户的 SecretKey,请登录访问管理控制台进行查看和管理,https://console.cloud.tencent.com/cam/capi
    region = 'ap-beijing'      # 替换为用户的 region,已创建桶归属的region可以在控制台查看,https://console.cloud.tencent.com/cos5/bucket
                             # COS支持的所有region列表参见https://intl.cloud.tencent.com/document/product/436/6224
    token = None               # 如果使用永久密钥不需要填入token,如果使用临时密钥需要填入,临时密钥生成和使用指引参见https://intl.cloud.tencent.com/document/product/436/14048
    scheme = 'https'           # 指定使用 http/https 协议来访问 COS,默认为 https,可不填
    config = CosConfig(Region=region, SecretId=secret_id, SecretKey=secret_key, Token=token, Scheme=scheme)
    client = CosS3Client(config)
    response = client.put_bucket_acl(
      Bucket='examplebucket-1250000000',
      ACL='public-read'
    )
    

    全部参数请求示例

    response = client.put_bucket_acl(
      Bucket='examplebucket-1250000000',
      ACL='private'|'public-read'|'public-read-write',
      GrantFullControl='id="100000000002"',
      GrantRead='id="100000000003",id="100000000004"',
      GrantWrite='id="100000000005"',
      AccessControlPolicy={
          'AccessControlList': {
              'Grant': [
                  {
                      'Grantee': {
                          'DisplayName': 'qcs::cam::uin/100000000002:uin/100000000002',
                          'Type': 'CanonicalUser'|'Group',
                          'ID': 'qcs::cam::uin/100000000002:uin/100000000002', # Type为CanonicalUser时必须填写ID
                          'URI': 'http://cam.qcloud.com/groups/global/AllUsers' # Type为Group时必须填写URI
                      },
                      'Permission': 'FULL_CONTROL'|'WRITE'|'READ'
                  },
              ]
          },
          'Owner': {
              'DisplayName': 'qcs::cam::uin/100000000001:uin/100000000001', 
              'ID': 'qcs::cam::uin/100000000001:uin/100000000001' # 必须是桶 Owner 的 ID
          }
      }
    )
    

    参数说明

    参数名称 参数描述 类型 是否必填
    Bucket 存储桶名称,由 BucketName-APPID 构成 String
    ACL 设置存储桶的 ACL,例如 'private','public-read','public-read-write',详情请参见 ACL 概述 String
    GrantFullControl 赋予指定账户对存储桶的读写权限,格式为id="OwnerUin",可使用半角逗号(,)分隔多组被授权者,如 id="100000000001",id="100000000002" String
    GrantRead 赋予指定账户对存储桶的读权限,格式为id="OwnerUin",可使用半角逗号(,)分隔多组被授权者,如 id="100000000001",id="100000000002" String
    GrantWrite 赋予指定账户对存储桶的写权限,格式为id="OwnerUin",可使用半角逗号(,)分隔多组被授权者,如 id="100000000001",id="100000000002" String
    AccessControlPolicy 赋予指定账户对存储桶的访问权限,与其它权限参数是互斥的,无法同时指定 Dict

    AccessControlPolicy 参数说明:

    参数名称 参数描述 类型 是否必填
    Owner 存储桶拥有者的信息,包括 DisplayName 和 ID Dict
    AccessControlList 存储桶权限被授予者的信息,包括 Grant 列表 Dict

    Owner 参数说明:

    参数名称 参数描述 类型 是否必填
    ID Type 为 CanonicalUser 时,对应权限授予者的 ID,格式为 qcs::cam::uin/[OwnerUin]:uin/[OwnerUin],如 qcs::cam::uin/100000000001:uin/100000000001 String
    DisplayName 权限被授予者的名称,可以不填,或者和ID的值保持一致 String

    AccessControlList 参数说明:

    参数名称 参数描述 类型 是否必填
    Grant 存储桶权限被授予者的信息,包括 Grantee 和 Permission List
    Grantee 权限被授予者的信息,包括 DisplayName,Type,ID 和 URI Dict
    Type 权限被授予者的类型,类型为 CanonicalUser 或者 Group String
    ID Type 为 CanonicalUser 时,对应权限授予者的 ID,格式为 qcs::cam::uin/[OwnerUin]:uin/[OwnerUin],如 qcs::cam::uin/100000000001:uin/100000000001 String 当 Grantee 的 Type 指定为 CanonicalUser 时必选
    URI Type 为 Group 时,填入预设用户组的 URI,例如 http://cam.qcloud.com/groups/global/AllUsers, 详情请参见 ACL 概述 String 当 Grantee 的 Type 指定为 Group 时必选
    Permission 指明授予被授权者的存储桶权限,可选值有 FULL_CONTROL,WRITE,READ,分别对应读写权限、写权限、读权限 String

    返回结果说明

    该方法返回值为 None。

    查询存储桶 ACL

    功能说明

    查询指定存储桶的访问权限控制列表(GET Bucket acl)。

    方法原型

    get_bucket_acl(Bucket, **kwargs)
    

    请求示例

    # -*- coding=utf-8
    from qcloud_cos import CosConfig
    from qcloud_cos import CosS3Client
    import sys
    import logging
    # 正常情况日志级别使用INFO,需要定位时可以修改为DEBUG,此时SDK会打印和服务端的通信信息
    logging.basicConfig(level=logging.INFO, stream=sys.stdout)
    # 1. 设置用户属性, 包括 secret_id, secret_key, region等。Appid 已在CosConfig中移除,请在参数 Bucket 中带上 Appid。Bucket 由 BucketName-Appid 组成
    secret_id = 'SecretId'     # 替换为用户的 SecretId,请登录访问管理控制台进行查看和管理,https://console.cloud.tencent.com/cam/capi
    secret_key = 'SecretKey'   # 替换为用户的 SecretKey,请登录访问管理控制台进行查看和管理,https://console.cloud.tencent.com/cam/capi
    region = 'ap-beijing'      # 替换为用户的 region,已创建桶归属的region可以在控制台查看,https://console.cloud.tencent.com/cos5/bucket
                             # COS支持的所有region列表参见https://intl.cloud.tencent.com/document/product/436/6224
    token = None               # 如果使用永久密钥不需要填入token,如果使用临时密钥需要填入,临时密钥生成和使用指引参见https://intl.cloud.tencent.com/document/product/436/14048
    scheme = 'https'           # 指定使用 http/https 协议来访问 COS,默认为 https,可不填
    config = CosConfig(Region=region, SecretId=secret_id, SecretKey=secret_key, Token=token, Scheme=scheme)
    client = CosS3Client(config)
    response = client.get_bucket_acl(
      Bucket='examplebucket-1250000000'
    )
    

    参数说明

    参数名称 参数描述 类型 是否必填
    Bucket 存储桶名称,由 BucketName-APPID 构成 String

    返回结果说明

    Bucket ACL 信息,类型为 dict。

    {
       'Owner': {
           'DisplayName': 'qcs::cam::uin/100000000001:uin/100000000001',
           'ID': 'qcs::cam::uin/100000000001:uin/100000000001'
       },
       'AccessControlList': {
           'Grant': [
               {
                   'Grantee': {
                       'DisplayName': 'qcs::cam::uin/100000000002:uin/100000000002',
                       'Type': 'CanonicalUser'|'Group',
                       'ID': 'qcs::cam::uin/100000000002:uin/100000000002',
                       'URI': 'http://cam.qcloud.com/groups/global/AllUsers'
                   },
                   'Permission': 'FULL_CONTROL'|'WRITE'|'READ'
               },
           ]
       }
    }
    
    参数名称 参数描述 类型
    Owner 存储桶拥有者的信息,包括 DisplayName 和 ID,详细说明见PUT Bucket acl Dict
    AccessControlList 存储桶权限被授予者的信息,包括 Grant 列表,详细说明见PUT Bucket acl Dict

    对象 ACL

    设置对象 ACL

    功能说明

    设置存储桶中某个对象的访问控制列表(PUT Object acl)。AccessControlPolicy 参数与其它权限参数是互斥的,无法同时指定。

    方法原型

    put_object_acl(Bucket, Key, AccessControlPolicy={}, **kwargs)
    

    请求示例

    # -*- coding=utf-8
    from qcloud_cos import CosConfig
    from qcloud_cos import CosS3Client
    import sys
    import logging
    # 正常情况日志级别使用INFO,需要定位时可以修改为DEBUG,此时SDK会打印和服务端的通信信息
    logging.basicConfig(level=logging.INFO, stream=sys.stdout)
    # 1. 设置用户属性, 包括 secret_id, secret_key, region等。Appid 已在CosConfig中移除,请在参数 Bucket 中带上 Appid。Bucket 由 BucketName-Appid 组成
    secret_id = 'SecretId'     # 替换为用户的 SecretId,请登录访问管理控制台进行查看和管理,https://console.cloud.tencent.com/cam/capi
    secret_key = 'SecretKey'   # 替换为用户的 SecretKey,请登录访问管理控制台进行查看和管理,https://console.cloud.tencent.com/cam/capi
    region = 'ap-beijing'      # 替换为用户的 region,已创建桶归属的region可以在控制台查看,https://console.cloud.tencent.com/cos5/bucket
                             # COS支持的所有region列表参见https://intl.cloud.tencent.com/document/product/436/6224
    token = None               # 如果使用永久密钥不需要填入token,如果使用临时密钥需要填入,临时密钥生成和使用指引参见https://intl.cloud.tencent.com/document/product/436/14048
    scheme = 'https'           # 指定使用 http/https 协议来访问 COS,默认为 https,可不填
    config = CosConfig(Region=region, SecretId=secret_id, SecretKey=secret_key, Token=token, Scheme=scheme)
    client = CosS3Client(config)
    response = client.put_object_acl(
      Bucket='examplebucket-1250000000',
      Key='exampleobject',
      ACL='public-read'
    )
    

    全部参数请求示例

    response = client.put_object_acl(
      Bucket='examplebucket-1250000000',
      Key='exampleobject',
      ACL='default'|'private'|'public-read',
      GrantFullControl='id="100000000003"',
      GrantRead='id="100000000003",id="100000000004"',
      AccessControlPolicy={
          'AccessControlList': {
              'Grant': [
                  {
                      'Grantee': {
                          'DisplayName': 'qcs::cam::uin/100000000002:uin/100000000002',
                          'Type': 'CanonicalUser'|'Group',
                          'ID': 'qcs::cam::uin/100000000002:uin/100000000002', # Type为CanonicalUser时必须填写ID
                          'URI': 'http://cam.qcloud.com/groups/global/AllUsers' # Type为Group时必须填写URI
                      },
                      'Permission': 'FULL_CONTROL'|'READ'
                  },
              ]
          },
          'Owner': {
              'DisplayName': 'qcs::cam::uin/100000000001:uin/100000000001',
              'ID': 'qcs::cam::uin/100000000001:uin/100000000001'
          }
      }
    )
    

    参数说明

    参数名称 参数描述 类型 是否必填
    Bucket 存储桶名称,由 BucketName-APPID 构成 String
    Key 对象键(Key)是对象在存储桶中的唯一标识。例如,在对象的访问域名examplebucket-1250000000.cos.ap-guangzhou.myqcloud.com/doc/pic.jpg中,对象键为 doc/pic.jpg String
    ACL 设置对象的 ACL,例如 'default','private','public-read',详情请参见 ACL 概述 String
    GrantFullControl 赋予指定账户对对象的所有权限,格式为id="OwnerUin",可使用半角逗号(,)分隔多组被授权者,例如id="100000000001",id="100000000002" String
    GrantRead 赋予指定账户对对象的读权限,格式为id="OwnerUin",可使用半角逗号(,)分隔多组被授权者,例如id="100000000001",id="100000000002" String
    AccessControlPolicy 赋予指定账户对对象的访问权限,与其它权限参数是互斥的,无法同时指定 Dict

    AccessControlPolicy 参数说明:

    参数名称 参数描述 类型 是否必填
    Owner 存储桶拥有者的信息,包括 DisplayName 和 ID Dict
    AccessControlList 存储桶权限被授予者的信息,包括 Grant 列表 Dict

    Owner 参数说明:

    参数名称 参数描述 类型 是否必填
    ID Type 为 CanonicalUser 时,对应权限授予者的 ID,格式为 qcs::cam::uin/[OwnerUin]:uin/[OwnerUin],如 qcs::cam::uin/100000000001:uin/100000000001 String
    DisplayName 权限被授予者的名称,可以不填,或者和ID的值保持一致 String

    AccessControlList 参数说明:

    参数名称 参数描述 类型 是否必填
    Grant 存储桶权限被授予者的信息,包括 Grantee 和 Permission List
    Grantee 权限被授予者的信息,包括 DisplayName,Type,ID 和 URI Dict
    Type 权限被授予者的类型,类型为 CanonicalUser 或者 Group String
    ID Type 为 CanonicalUser 时,对应权限授予者的 ID,格式为 qcs::cam::uin/[OwnerUin]:uin/[OwnerUin],如 qcs::cam::uin/100000000001:uin/100000000001 String 当 Grantee 的 Type 指定为 CanonicalUser 时必选
    URI Type 为 Group 时,填入预设用户组的 URI,例如 http://cam.qcloud.com/groups/global/AllUsers, 详情请参见 ACL 概述 String 当 Grantee 的 Type 指定为 Group 时必选
    Permission 指明授予被授权者的权限信息,可选值有 FULL_CONTROL,READ,分别对应所有权限、读权限 String

    返回结果说明

    该方法返回值为 None。

    查询对象 ACL

    功能说明

    查询对象的访问控制列表(GET Object acl)。

    方法原型

    get_object_acl(Bucket, Key, **kwargs)
    

    请求示例

    # -*- coding=utf-8
    from qcloud_cos import CosConfig
    from qcloud_cos import CosS3Client
    import sys
    import logging
    # 正常情况日志级别使用INFO,需要定位时可以修改为DEBUG,此时SDK会打印和服务端的通信信息
    logging.basicConfig(level=logging.INFO, stream=sys.stdout)
    # 1. 设置用户属性, 包括 secret_id, secret_key, region等。Appid 已在CosConfig中移除,请在参数 Bucket 中带上 Appid。Bucket 由 BucketName-Appid 组成
    secret_id = 'SecretId'     # 替换为用户的 SecretId,请登录访问管理控制台进行查看和管理,https://console.cloud.tencent.com/cam/capi
    secret_key = 'SecretKey'   # 替换为用户的 SecretKey,请登录访问管理控制台进行查看和管理,https://console.cloud.tencent.com/cam/capi
    region = 'ap-beijing'      # 替换为用户的 region,已创建桶归属的region可以在控制台查看,https://console.cloud.tencent.com/cos5/bucket
                             # COS支持的所有region列表参见https://intl.cloud.tencent.com/document/product/436/6224
    token = None               # 如果使用永久密钥不需要填入token,如果使用临时密钥需要填入,临时密钥生成和使用指引参见https://intl.cloud.tencent.com/document/product/436/14048
    scheme = 'https'           # 指定使用 http/https 协议来访问 COS,默认为 https,可不填
    config = CosConfig(Region=region, SecretId=secret_id, SecretKey=secret_key, Token=token, Scheme=scheme)
    client = CosS3Client(config)
    response = client.get_object_acl(
      Bucket='examplebucket-1250000000',
      Key='exampleobject'
    )
    

    参数说明

    参数名称 参数描述 类型 是否必填
    Bucket 存储桶名称,由 BucketName-APPID 构成 String
    Key 对象键(Key)是对象在存储桶中的唯一标识。例如,在对象的访问域名examplebucket-1250000000.cos.ap-guangzhou.myqcloud.com/doc/pic.jpg中,对象键为 doc/pic.jpg String

    返回结果说明

    Object ACL 信息,类型为 dict:

    {
       'Owner': {
           'DisplayName': 'qcs::cam::uin/100000000001:uin/100000000001',
           'ID': 'qcs::cam::uin/100000000001:uin/100000000001'
       },
       'AccessControlList': {
           'Grant': [
               {
                   'Grantee': {
                       'DisplayName': 'qcs::cam::uin/100000000002:uin/100000000002',
                       'Type': 'CanonicalUser'|'Group',
                       'ID': 'qcs::cam::uin/100000000002:uin/100000000002',
                       'URI': 'http://cam.qcloud.com/groups/global/AllUsers'
                   },
                   'Permission': 'FULL_CONTROL'|'READ'
               },
           ]
       }
    }
    
    参数名称 参数描述 类型
    Owner 对象拥有者的信息,包括 DisplayName 和 ID,详细说明见PUT Object acl Dict
    AccessControlList 对象权限被授予者的信息,包括 Grant 列表,详细说明见PUT Object acl Dict
    联系我们

    联系我们,为您的业务提供专属服务。

    技术支持

    如果你想寻求进一步的帮助,通过工单与我们进行联络。我们提供7x24的工单服务。

    7x24 电话支持