tencent cloud

Cloud Object Storage

最新情報とお知らせ
製品アップデート情報
製品のお知らせ
製品概要
製品概要
機能概要
応用シナリオ
製品の優位性
基本概念
リージョンとアクセスドメイン名
仕様と制限
製品の課金
課金概要
課金方式
課金項目
無料利用枠
記帳例
請求書の確認とダウンロード
お支払い遅れについて
よくある質問
クイックスタート
コンソールクイックスタート
COSBrowserクイックスタート
ユーザーガイド
リクエストの作成
バケット
オブジェクト
データ管理
バッチ処理
グローバルアクセラレーション
監視とアラーム
運用管理センター
データ処理
インテリジェントツールボックス使用ガイド
データワークフロー
アプリ統合
ツールガイド
ツール概要
環境のインストールと設定
COSBrowserツール
COSCLIツール
COSCMDツール
COS Migrationツール
FTP Serverツール
Hadoopツール
COSDistCpツール
HDFS TO COSツール
オンラインツール (Onrain Tsūru)
セルフ診断ツール
実践チュートリアル
概要
アクセス制御と権限管理
パフォーマンスの最適化
AWS S3 SDKを使用したCOSアクセス
データディザスタリカバリバックアップ
ドメイン名管理の実践
画像処理の実践
COSオーディオビデオプレーヤーの実践
データセキュリティ
データ検証
COSコスト最適化ソリューション
サードパーティアプリケーションでのCOSの使用
移行ガイド
サードパーティクラウドストレージのデータをCOSへ移行
データレークストレージ
クラウドネイティブデータレイク
メタデータアクセラレーション
データアクセラレーター GooseFS
データ処理
データ処理概要
画像処理
メディア処理
コンテンツ審査
ファイル処理
ドキュメントプレビュー
トラブルシューティング
RequestId取得の操作ガイド
パブリックネットワーク経由でのCOSへのファイルアップロード速度の遅さ
COSへのアクセス時に403エラーコードが返される
リソースアクセス異常
POST Objectの一般的な異常
セキュリティとコンプライアンス
データ災害復帰
データセキュリティ
クラウドアクセスマネジメント
よくある質問
よくあるご質問
一般的な問題
従量課金に関するご質問
ドメインコンプライアンスに関するご質問
バケット設定に関する質問
ドメイン名とCDNに関するご質問
ファイル操作に関するご質問
権限管理に関するご質問
データ処理に関するご質問
データセキュリティに関するご質問
署名付きURLに関するご質問
SDKクラスに関するご質問
ツール類に関するご質問
APIクラスに関するご質問
Agreements
Service Level Agreement
プライバシーポリシー
データ処理とセキュリティ契約
連絡先
用語集
ドキュメントCloud Object Storageよくある質問権限管理に関するご質問

権限管理に関するご質問

PDF
フォーカスモード
フォントサイズ
最終更新日: 2024-06-30 12:32:52

キーに関するご質問

APPID、SecretId、SecretKeyなどのキー情報を確認するにはどうすればよいですか。

バケット名の後半部分がAPPID情報です。COSコンソールにログインすると確認できます。SecretId、SecretKeyなどの情報は、CAMコンソールのAPIキー管理にログインすると確認できます。

一時キーの有効期間はどれくらいですか。

一時キーは現時点ではルートアカウントで最長2時間(7200秒)、サブアカウントで最長36時間(129600秒)であり、デフォルト値は30分(1800秒)です。期限切れとなった一時キーを含むリクエストは拒否されます。一時キーに関する説明は、一時キーの生成および使用ガイドをご参照ください。

SecretId、SecretKeyなどのキーに関する情報が漏洩した場合は、どのように対処すればよいですか。

ユーザーは漏洩したキーを削除し、新たなキーを作成することができます。詳細については、アクセスキーをご参照ください。

プライベート読み取り/書き込み権限が設定されたファイルに対し、時間制限のあるアクセスリンクを生成するにはどうすればよいですか。

一時キーの生成および使用ガイドのドキュメントを参照し、キーの有効期間を設定してください。

権限に関するご質問

COSではサブアカウントの指定フォルダへのアクセス権限をどのように承認しますか。

フォルダの権限の設定を参照し、サブアカウントの指定フォルダへのアクセス権限を承認することができます。サブアカウントに対しより高度な権限承認を行う場合は、権限設定の関連事例を参照することができます。

COSから403エラーが返されましたが、どのように対処すればよいですか。

COSチームが開発者向けに提供しているセルフ診断ツールをご利用ください。セルフ診断ツールはリクエストのRequestIdによって、操作の異常に対する診断をサポートすることができます。はい
1. BucketName、APPID、Region、SecretId、SecretKeyなどの設定情報が正しいかどうかチェックしてください。
2. 上記の情報の正確性が確認されているという前提の下で、サブアカウントを使用して操作を行っていないかをチェックしてください。サブアカウントを使用している場合は、ルートアカウントがサブアカウントの権限を承認しているかをチェックしてください。承認していない場合は、先にルートアカウントでログインし、サブアカウントの権限を承認してください。
3. 権限承認の詳細については、権限設定の関連事例をご参照ください。
4. 一時キーを使用して操作を行っている場合は、現在の操作が一時キーの取得時に設定したPolicyに含まれるかどうかをチェックしてください。含まれない場合は関連のPolicy設定を変更してください。

COSでAccessDeniedのエラーが発生しましたが、どのように対処すればよいですか。

AccessDeniedは一般的に、権限が承認されていないか、権限が不足しているために起こるエラーです。次の手順に従って、順次トラブルシューティングを実施してください。
1. BucketName、APPID、Region、SecretId、SecretKeyなどの設定情報が正しいかどうかチェックしてください。スペースが入っていないかどうかに特に注意してください。
2. 上記の情報の正確性が確認されているという前提の下で、サブアカウントを使用して操作を行っていないかをチェックしてください。サブアカウントを使用している場合は、ルートアカウントがサブアカウントの権限を承認しているかをチェックしてください。承認していない場合は、先にルートアカウントでログインし、サブアカウントの権限を承認してください。権限承認操作については、アクセス管理権限設定の関連事例をご参照ください。
3. 一時キーを使用して操作を行っている場合は、現在の操作が一時キーの取得時に設定したPolicyに含まれるかどうかをチェックしてください。含まれない場合は関連のPolicy設定を変更してください。詳細については、一時キーの生成および使用ガイドをご参照ください。
COSチームは開発者向けにセルフ診断ツールをご提供しています。セルフ診断ツールはリクエストのRequestIdによって、操作の異常に対する診断をサポートすることができます。

バケットのアクセス権限が上限に達しましたが、どうすればよいですか。

各ルートアカウント(すなわち同一のAPPID)の、バケットACLルールの数は最大1000個までです。設定したバケットACLが1000個を超えるとこのエラーが発生します。このため、不要なACLルールは削除することをお勧めします。
説明:
ファイルレベルのACLまたはPolicyの使用はお勧めしません。APIまたはSDKを呼び出す際、ファイルに対して特別なACL制御を必要としない場合は、ACLの関連パラメータ(x-cos-acl、ACLなど)を空にし、バケットの権限をそのまま引き継いでください。

バケットの作成でエラーが発生しましたが、どうすればよいですか。

バケットの作成エラーで考えられる原因
1. 作成したバケットについて、そのバケット名がすでに存在している場合。その場合はその他のバケット名を付ける必要があります。
2. 現在のバケットにパブリック読み取り/プライベート書き込み、あるいはパブリック読み取り/書き込み権限を設定しすぎており、かつ、ルートアカウントのACLルールの数が上限に達している場合、バケット新規作成時にバケットACL数の上限の調整ができないため、エラーが発生しています。
次の2つの対処方法を参考までにご提供します。
方法1:現在のバケットのアクセス権限をプライベート読み取り/書き込みに変更できます。詳細については、バケットアクセス権限の設定をご参照ください。その後、バケットの新規作成をもう一度お試しください。 方法2:Policy権限設定ポリシーの追加で、対応するアクセス権限を設定できます。詳細については、バケットポリシーの追加をご参照ください。

署名リンクを使用してパブリック読み取りファイルにアクセスしている場合、署名が期限切れとなってもファイルにアクセスすることはできますか。

期限切れの署名リンクを使用してパブリック読み取りファイルにアクセスした場合、COSは権限の状況を優先的にチェックし、リンクの期限切れ後のアクセスを拒否する判断を行います。

アップロード、ダウンロードなどの操作を行う際、「403 Forbidden」「権限拒否」などのエラーが発生した場合はどのように対処すればよいですか。

次の手順に従って、順次トラブルシューティングを実施してください。
1. BucketName、APPID、Region、SecretId、SecretKeyなどの設定情報が正しいかどうかチェックしてください。
2. 上記の情報の正確性が確認されているという前提の下で、サブアカウントを使用して操作を行っていないかをチェックしてください。サブアカウントを使用している場合は、ルートアカウントがサブアカウントの権限を承認しているかをチェックしてください。承認していない場合は、先にルートアカウントでログインし、サブアカウントの権限を承認してください。権限承認操作については、アクセス管理権限設定の関連事例をご参照ください。
3. 一時キーを使用して操作を行っている場合は、現在の操作が一時キーの取得時に設定したPolicyに含まれるかどうかをチェックしてください。含まれない場合は関連のPolicy設定を変更してください。詳細については、一時キーの生成および使用ガイドをご参照ください。
COSチームは開発者向けにセルフ診断ツールをご提供しています。セルフ診断ツールはリクエストのRequestIdによって、操作の異常に対する診断をサポートすることができます。

COSでは第三者がファイルをローカルにダウンロードするのをどのように制限しますか。

第三者によるローカルへのファイルダウンロードを制限したい場合は、次のいくつかのケースを区別する必要があります。
1. サブアカウントによるデータダウンロードを制限する場合は、サブアカウントのCOSアクセス権限の承認を参照することができます。
2. 匿名ユーザーによるデータダウンロードを制限する場合は、バケットをプライベート読み取り/書き込みに設定するか、またはバケットポリシーにdeny anyone Get Object操作を設定することができます。

COSではその他アカウントのサブアカウントに権限をどのようにして設定しますか。

ルートアカウントAの名前のバケットが、ルートアカウントBのサブアカウントB0に対し操作権限の承認を行う必要があると仮定した場合、まずルートアカウントBに対し、A名のバケットの操作権限を承認してから、ルートアカウントBを通じてサブアカウントB0に対し、A名のバケットの操作権限を承認する必要があります。詳細な操作については、他のルートアカウント下のサブアカウント操作名のバケットへの権限付与を参照することができます。

COSで、サブアカウント/コラボレーターがファイルのアップロードのみ可能で、削除はできないように設定するにはどうすればよいですか。

CAMコンソールでカスタムポリシーを作成し、サブユーザーに対し特定の権限を設定できます。詳細な操作手順については、カスタムポリシーの作成を参照することができます。
説明:
カスタムポリシーを作成する際は、読み取り操作の権限を承認し、書き込み操作はアップロードの権限のみを選択する必要があります。関連する権限の削除を選択しないでください


バケットのデフォルトドメイン名を使用してパブリック読み取りバケットにアクセスすると、ファイルリストが返されますが、ファイルリストの情報を隠すにはどうすればよいですか。

対応するバケットにdeny anyoneのGet Bucket権限を設定することができます。操作手順は次のとおりです。
COSコンソールにログインし、バケットリストを選択し、対応するバケットの権限管理ページに進みます。

方法1:

1. Policy権限設定項目を見つけ、グラフィック設定ポリシーの追加をクリックします。
2. 下図に従って対応する操作権限を追加し、OKをクリックして保存します。
Polcyのグラフィック設定


方法2:

Policy権限設定項目を見つけ、ポリシー構文 > 編集をクリックし、次の表現を入力します。
{
 "Statement": [
   {
     "Action": [
       "name/cos:GetBucket",
       "name/cos:GetBucketObjectVersions"
     ],
     "Effect": "Deny",
     "Principal": {
       "qcs": [
         "qcs::cam::anyone:anyone"
       ]
     },
     "Resource": [
       "qcs::cos:ap-beijing:uid/1250000000:examplebucket-1250000000/*"
     ]
   }
 ],
 "version": "2.0"
}
注意:
qcs::cos:ap-beijing:uid/1250000000:examplebucket-1250000000/*の中の関連情報を次のように置き換えてください。
“ap-beijing”をご自身のバケットの所在リージョンに置き換えます。
“1250000000”をご自身のAPPID情報に置き換えます。
“examplebucket-1250000000”をご自身のバケット名に置き換えます。
このうち、APPIDはバケット名の後半部分です。バケット名はCOSコンソールで確認できます。

COSのACL制限はバケットとアカウントのどちらに対してのものですか。ファイルをアップロードする際に権限を指定することはできますか。

ACLはアカウントに対する制限です。ファイルレベルのACLまたはPolicyの使用はお勧めしません。APIまたはSDKを呼び出す際、ファイルに対して特別なACL制御を必要としない場合は、ACLの関連パラメータ(x-cos-acl、ACLなど)を空にし、バケットの権限をそのまま継承してください。

コラボレーターに対し指定のバケットへのアクセス権限を承認するにはどうすればよいですか。

コラボレーターアカウントは一種の特殊なサブアカウントです。詳細については、アクセスポリシーの言語概要をご参照ください。

複数の業務でバケットを操作する必要がありますが、バケットまたはその他の次元で権限を分離することはできますか。

CAMコンソールにログインし、ユーザー管理ページに進み、業務ごとにサブアカウントを有効化し、それぞれに権限を付与する操作を行うことができます。

子会社または従業員のサブアカウントを作成し、特定のバケットへのアクセス権限を承認するにはどうすればよいですか。

詳細については、サブアカウントのCOSアクセス権限の承認を参照し、サブアカウントを作成して権限承認を行ってください。

特定のサブアカウントに対し、あるバケットの操作権限のみを承認するにはどうすればよいですか。

サブアカウントに対し特定のバケットの操作権限のみを持たせたい場合は、ルートアカウントよりサブアカウントにバケットポリシーを追加することができます。詳細については、バケットポリシーの追加をご参照ください。

Ranger認証に関するよくあるご質問

詳細については、Ranger認証に関するよくあるご質問をご参照ください。

その他の問題

COSのリソースアクセスに異常が発生しましたが、どのように対処すればよいですか。

リソースアクセス異常 のドキュメントを参照し、トラブルシューティングを行ってください。

CDNドメイン名を使用したCOSへのアクセス時にHTTP ERROR 403が返される場合は、どのように対処すればよいですか。

CDNアクセラレーションドメイン名が無効になっているために起こった可能性があります。CDNドメイン名を使用したCOSへのアクセス時にHTTP ERROR 403が返されるのドキュメントを参照して対処してください。

CDNドメイン名を使用してCOSにアクセスすると旧ファイルにアクセスしてしまいます。どのように対処すればよいですか。

キャッシュの存在が原因の可能性があります。同一リンクからアクセスしたファイルの異常のドキュメントを参照し、更新操作を行ってください。

フロントエンド業務がCDNと一時キー方式によってCOSのコンテンツにアクセスすることは可能ですか。

COSにプライベート読み取り/書き込み権限が設定されている状況で、CDNがオリジンサーバーをCOSに戻す際の認証を実現したい場合は、CDNのback to origin認証をご参照ください。
前の記事へ: ストレージタイプ次の記事へ: 関数の計算

ヘルプとサポート

この記事はお役に立ちましたか?

フィードバック