详情页标题前

腾讯云对象存储ACL

详情页1

基本概念

访问控制列表(ACL)使用 XML 语言描述,是与资源关联的一个指定被授权者和授予权限的列表,每个存储桶和对象都有与之关联的 ACL,支持向匿名用户或其他腾讯云的主账号授予基本的读写权限。注意 使用与资源关联的 ACL 管理有一些限制:资源的拥有者始终对资源具备 FULL_CONTROL 权限,无法撤销或修改。匿名用户无法成为资源拥有者,此时对象资源的拥有者属于存储桶的创建者(腾讯云主账号)。仅可对腾讯云访问管理(Cloud Access Management,CAM)主账号或预设用户组授予权限,无法授予自定义用户组权限,不推荐授予子用户权限。不支持对权限附加条件。不支持显示拒绝的权限。一个资源最多可以拥有100条 ACL 策略。

适用场景

注意开放匿名用户访问(公有读)属于高危操作,有流量盗刷的风险;必须使用公有读时,可 设置防盗链 进行安全防护。当您仅需要为存储桶和对象设置一些简单的访问权限或开放匿名访问,可以选择 ACL。但在更多的情况下,推荐您优先使用存储桶策略或用户策略,灵活程度更高。ACL 的适用场景包括:仅设置简单的访问权限。在控制台快速设置访问权限。需要将某个对象、目录或存储桶开放给所有互联网匿名用户访问,ACL 操作更为便捷。

ACL 的元素

身份 Grantee

支持的被授权身份可以是某个 CAM 主账号,或者是某个预设的 CAM 用户组。注意当您授予了其他腾讯云主账号访问权限时,这个被授权的主账号可以授权其名下的子用户、用户组或角色的访问权限。对象存储(Cloud Object Storage,COS)完全不建议您对匿名用户或 CAM 用户组授予 WRITE、WRITE_ACP 或 FULL_CONTROL 权限。一旦授权许可后,用户组可以对您的资源进行上传、下载、删除等行为,这将会给您带来数据丢失、扣费等风险。在存储桶或对象的 ACL 中支持授予的身份包括:跨账号:请使用主账号的 ID,通过账号中心账号信息 获得账号 ID,例如100000000001。预设用户组:请使用 URI 标签标记预设的用户组,支持的用户组包括:匿名用户组 –http://cam.qcloud.com/groups/global/AllUsers 该组代表了任何人都可以无需授权而访问资源,无论请求已签名或者未签名。认证用户组 –http://cam.qcloud.com/groups/global/AuthenticatedUsers 该组代表所有经过腾讯云 CAM 账户认证的用户都可以访问资源。

操作 Permission

腾讯云 COS 在资源 ACL 上支持的操作实际上是一系列的操作集合,对于存储桶和对象 ACL 来说分别代表不同的含义。存储桶的操作下表列出了支持在存储桶 ACL 中设置的操作列表:

操作集 描述 许可的行为
READ 列出对象 HeadBucket,GetBucketObjectVersions,ListMultipartUploads
WRITE 上传、覆盖和删除对象 PutObject,PutObjectCopy,PostObject,InitiateMultipartUpload, UploadPart,UploadPartCopy,CompleteMultipartUpload, DeleteObject
READ_ACP 读取存储桶的 ACL GetBucketACL
WRITE_ACP 写入存储桶的 ACL PutBucketACL
FULL_CONTROL 以上四种权限的集合 以上所有行为的集合

注意请谨慎授予存储桶 WRITE、WRITE_ACP 或 FULL_CONTROL 权限。授予存储桶 WRITE 权限将允许被授权者覆盖或删除已有的任何对象。对象的操作下表列出了支持在对象 ACL 中设置的操作列表:

操作集 描述 许可的行为
READ 读取对象 GetObject,GetObjectVersion,HeadObject
READ_ACP 读取对象的 ACL GetObjectACL,GetObjectVersionACL
WRITE_ACP 写入对象的 ACL PutObjectACL,PutObjectVersionACL
FULL_CONTROL 以上三种权限的集合 以上所有行为的集合

说明对象不支持授予 WRITE 操作集。

预设的 ACL

COS 支持一系列预设的 ACL 进行授权,方便简单权限的描述。使用预设 ACL 描述时,需要在 PUT Bucket/Object 或 PUT Bucket/Object acl 中携带 x-cos-acl 头部并描述所需权限,如果同时在请求正文中携带了 XML 的描述内容,我们将优先选择头部中的描述并忽略请求正文中的 XML 描述。存储桶的预设 ACL

预设名称 描述
private 创建者(主账号)具备 FULL_CONTROL 权限,其他人没有权限(默认)
public-read 创建者具备 FULL_CONTROL 权限,匿名用户组具备 READ 权限
public-read-write 创建者和匿名用户组都具备 FULL_CONTROL 权限,通常不建议授予此权限
authenticated-read 创建者具备 FULL_CONTROL 权限,认证用户组具备 READ 权限

对象的预设 ACL

预设名称 描述
default 空描述,此时根据各级目录的显式设置及存储桶的设置来确定是否允许请求(默认)
private 创建者(主账号)具备 FULL_CONTROL 权限,其他人没有权限
public-read 创建者具备 FULL_CONTROL 权限,匿名用户组具备 READ 权限
authenticated-read 创建者具备 FULL_CONTROL 权限,认证用户组具备 READ 权限
bucket-owner-read 创建者具备 FULL_CONTROL 权限,存储桶拥有者具备 READ 权限
bucket-owner-full-control 创建者和存储桶拥有者都具备 FULL_CONTROL 权限

说明对象不支持授予 public-read-write 权限。

示例

存储桶的 ACL

在创建存储桶时,COS 将创建一个默认的 ACL 以赋予资源拥有者对资源的完全控制权限(FULL_CONTROL),示例如下:

      Owner-Cononical-CAM-User-Id                      Owner-Cononical-CAM-User-Id            FULL_CONTROL      

对象的 ACL

在创建对象时,COS 默认不会创建 ACL,此时对象的拥有者为存储桶拥有者。对象继承存储桶的权限,与存储桶的访问权限一致。由于对象没有默认的 ACL,其将遵循存储桶策略(Bucket Policy)中对访问者和其行为的定义,来判断请求是否被许可。详情请参见 访问策略语言概述 文档如果您需要对对象授予其他访问权限,您可以在此基础上添加更多的 ACL 来描述对象的访问权限。例如授予匿名用户只读单个对象的权限,示例如下:

      Owner-Cononical-CAM-User-Id                      Owner-Cononical-CAM-User-Id            FULL_CONTROL                      http://cam.qcloud.com/groups/global/AllUsers            READ      



对象存储官网1折活动,限时活动,即将结束,速速收藏
同尘科技为腾讯云授权服务中心。
购买腾讯云产品享受折上折,更有现金返利。同意关联立享优惠

转转请注明出处:https://www.yunxiaoer.com/144777.html

(0)
上一篇 2023年12月9日 上午1:51
下一篇 2023年12月9日
详情页2

相关推荐

  • 腾讯云对象存储静态网站

    简介 本文档提供关于静态网站的 API 概览以及 SDK 示例代码。 API 操作名 操作描述 PUT Bucket website 设置静态网站 设置存储桶的静态网站配置 GET Bucket website 查询静态网站配置 查询存储桶的静态网站配置 DELETE Bucket website 删除静态网站配置 删除存储桶的静态网站配置 设置静态网站 功…

    腾讯云 2023年12月9日
  • 阿里云容器服务ACK计费概述-云淘科技

    阿里云容器服务 Kubernetes 版支持创建不同类型的Kubernetes集群,不同类型集群的计费标准不同。本文介绍容器服务ACK的计费情况。 ACK计费相关概念 集群管理费用 因为容器服务 Kubernetes 版整合了阿里云虚拟化、存储、网络和安全等方面能力,以提供高性能、可伸缩的容器应用管理能力,并简化集群的搭建和扩容等操作,让您专注于容器化应用的…

    2023年12月10日
  • 腾讯云TDSQL-C MySQL版授权策略语法

    CAM 策略语法 { “version”:”2.0″, “statement”: [ { “effect”:”effect”, “action”:[“action”], “resource”:[“resource”], “condition”: {“key”:{“value”}} } ] } 版本 version:必填项,目前仅允许值为”2.0&…

    腾讯云 2023年12月9日
  • 信息流广告,信息流部分建议宽度830px,只针对默认列表样式,顺序随机
  • 我有一台mysql 5.7,能配置polarDB作为它的从节点吗?-云小二-阿里云

    我有一台mysql 5.7,能配置polarDB作为它的从节点吗? 以下为热心网友提供的参考意见 是的,您可以将MySQL 5.7配置为PolarDB的从节点。PolarDB MySQL版支持基于binlog的复制方式,因此可以用于实现主从复制架构。此外,值得一提的是,PolarDB支持将RDS MySQL一键升级至 PolarDB MySQL版,升级后的 …

    阿里云 2023年12月6日
  • 我目前在用的公网负载均衡ALB实例,它有一个公网IP和一个私网IP。这个私网IP有其他用处没?-云小二-阿里云

    问题一:我目前在用的公网ALB实例,它有一个公网IP和一个私网IP。这个私网IP有其他用处没?问题二:如果我再开通一个ALB实例后,就相当于我这边会有两个访问域名。给普通用户用起来就得分别记住这两个域名 以下为热心网友提供的参考意见 公网类型的ALB实例负责处理来自公网的访问请求,它通常有一个公网IP和一个私网IP。这个私网IP只能在ALB所在的VPC(Vi…

    2024年1月9日

联系我们

400-800-8888

在线咨询: QQ交谈

邮件:admin@example.com

工作时间:周一至周五,9:30-18:30,节假日休息

关注微信
本站为广大会员提供阿里云、腾讯云、华为云、百度云等一线大厂的购买,续费优惠,保证底价,买贵退差。