最新情報とお知らせ

製品アップデート情報

製品のお知らせ

製品概要

機能概要

応用シナリオ

製品の優位性

基本概念

リージョンとアクセスドメイン名

仕様と制限

製品の課金

課金概要

課金方式

課金項目

無料利用枠

記帳例

請求書の確認とダウンロード

お支払い遅れについて

よくある質問

クイックスタート

コンソールクイックスタート

COSBrowserクイックスタート

ユーザーガイド

リクエストの作成

バケット

オブジェクト

データ管理

バッチ処理

グローバルアクセラレーション

監視とアラーム

運用管理センター

データ処理

インテリジェントツールボックス使用ガイド

データワークフロー

アプリ統合

ツールガイド

ツール概要

環境のインストールと設定

COSBrowserツール

COSCLIツール

COSCMDツール

COS Migrationツール

FTP Serverツール

Hadoopツール

COSDistCpツール

HDFS TO COSツール

オンラインツール (Onrain Tsūru)

セルフ診断ツール

実践チュートリアル

概要

アクセス制御と権限管理

パフォーマンスの最適化

AWS S3 SDKを使用したCOSアクセス

データディザスタリカバリバックアップ

ドメイン名管理の実践

画像処理の実践

COSオーディオビデオプレーヤーの実践

データセキュリティ

データ検証

COSコスト最適化ソリューション

サードパーティアプリケーションでのCOSの使用

移行ガイド

サードパーティクラウドストレージのデータをCOSへ移行

データレークストレージ

クラウドネイティブデータレイク

メタデータアクセラレーション

データアクセラレーター GooseFS

データ処理

データ処理概要

画像処理

メディア処理

コンテンツ審査

ファイル処理

ドキュメントプレビュー

トラブルシューティング

RequestId取得の操作ガイド

パブリックネットワーク経由でのCOSへのファイルアップロード速度の遅さ

COSへのアクセス時に403エラーコードが返される

リソースアクセス異常

POST Objectの一般的な異常

セキュリティとコンプライアンス

データ災害復帰

データセキュリティ

クラウドアクセスマネジメント

よくある質問

よくあるご質問

一般的な問題

従量課金に関するご質問

ドメインコンプライアンスに関するご質問

バケット設定に関する質問

ドメイン名とCDNに関するご質問

ファイル操作に関するご質問

権限管理に関するご質問

データ処理に関するご質問

データセキュリティに関するご質問

署名付きURLに関するご質問

SDKクラスに関するご質問

ツール類に関するご質問

APIクラスに関するご質問

Agreements

Service Level Agreement

プライバシーポリシー

データ処理とセキュリティ契約

連絡先

用語集

ユーザーポリシー

PDF

フォーカスモード

フォントサイズ

最終更新日: 2025-11-25 16:02:41

Tencent CloudルートアカウントはCloud Access Management（CAM）コンソールでCAMユーザーを作成し、ポリシーをバインドすることで、CAMユーザーに対しTencent Cloudのリソースを使用する権限を与えることができます。
概要
ユーザーはCAMで、ルートアカウント下の異なるタイプのユーザーに対し、異なる権限を付与することができます。これらの権限はアクセスポリシー言語で記述し、ユーザーを出発点として権限承認を行うため、ユーザーポリシーと呼ばれます。
ユーザーポリシーとバケットポリシーとの違い
ユーザーポリシーとバケットポリシーの最大の違いは、ユーザーポリシーはエフェクト（Effect）、アクション（Action）、リソース（Resource）、条件（Condition、オプション）のみを記述し、プリンシパル（Principal）は記述しない点です。このため、ユーザーポリシーの使用方法は次のようになります。
ユーザーポリシーは作成完了後、さらにサブユーザー、ユーザーグループまたはロールに対しバインド操作を実行する必要があります。
ユーザーポリシーはアクションおよびリソース権限の匿名ユーザーへの付与をサポートしていません。
プリセットポリシーとカスタムポリシー
ユーザーポリシーには、プリセットポリシーとカスタムポリシーの2種類が含まれます。プリセットポリシーを使用した権限のバインド、またはユーザーポリシーを自ら作成して権限のバインドを行うことができます。詳細については、CAMの権限承認ガイドをご参照ください。
ユースケース
ユーザーが行えること、および推奨されるユーザーポリシーについてお知りになりたい場合は、CAMユーザーを検索し、その所属するユーザーグループの権限を確認することで、ユーザーが何を行うことができるかを知ることができます。次のようなケースで推奨されます。
バケット作成（PutBucket）、バケットリストアップ（GetService）などの、Cloud Object Storage（COS）サービスレベルの権限を設定したい場合。
ルートアカウント下のすべてのCOSバケットおよびオブジェクトを使用したい場合。
ルートアカウント下の大量のCAMユーザーに同等の権限を付与したい場合。
ユーザーポリシー構文
ポリシー文法
バケットポリシーと同様に、ユーザーポリシーもJSON言語を使用して記述し、アクセスポリシー言語の統一ルール（プリンシパル、エフェクト、アクション、リソース、条件など）に従います。ただし、ユーザーポリシーはユーザー/ユーザーグループに直接バインドされるため、ユーザーポリシーではプリンシパル（Principal）の入力は不要です。
次の表はユーザーポリシーとバケットポリシーとの違いを比較したものです。
要素
ユーザーポリシー
バケットポリシー
プリンシパル
入力不要
入力必須
エフェクト
入力必須
入力必須
アクション
入力必須
入力必須
リソース
入力必須
このバケット内のリソース
条件
オプション
オプション
バケットポリシーの例
以下は、典型的なユーザーポリシーの例です。このポリシーは、広州にあるバケットexamplebucket-1250000000のすべてのCOS操作権限を付与するポリシーです。ポリシーを保存した後、さらにCAMのサブユーザー、ユーザーグループまたはロールにバインドすることで発効します。
{
  "statement": [
    {
      "effect": "Allow",
      "action": ["cos:*"],
      "resource": [
          "qcs::cos:ap-guangzhou:uid/1250000000:examplebucket-1250000000/*"
      ]
    }
  ],
  "version": "2.0"
}
ユーザーポリシーによるサブアカウントへのCOSアクセス権限承認
前提条件
CAMサブアカウントを作成済みであることが必要です。作成方法についてはサブアカウントの作成をご参照ください。
設定手順
CAMではプリセットポリシーとカスタムポリシーをご提供しています。プリセットポリシーはCAMの提供するシステムプリセットポリシーであり、COS関連ポリシーについてはプリセットポリシーをご覧ください。カスタムポリシーはユーザーがリソース、アクションなどの要素を自ら定義することができ、よりフレキシブルです。カスタムポリシーを新規作成し、サブアカウントへの権限承認を行う方法については以下でご説明します。
1. CAMコンソールにログインします。
2. ポリシー > カスタムポリシーの新規作成 > ポリシー構文で作成を選択し、ポリシー作成ページに進みます。
3. 実際のニーズに応じて空白テンプレートを選択して権限承認ポリシーをカスタマイズするか、またはCOSにバインドされたシステムテンプレートを選択します。ここでは空白テンプレートを例にとります。
4. 空白テンプレートを選択し、次へをクリックして、ポリシーを入力してください。以下の基本要素を含める必要があります。
resource：権限を承認するリソース。
すべてのリソース（"*"）
指定するバケット("qcs::cos:ap-guangzhou:uid/1250000000:examplebucket-1250000000/*")
バケット内の指定するディレクトリまたはオブジェクト("qcs::cos:ap-guangzhou:uid/1250000000:examplebucket-1250000000/test/*")
action：権限を承認するアクション。
effect：エフェクト。"allow"（許可）または"deny"（拒否）を選択します。
condition：発効条件。オプションです。
 COSはユーザーポリシーの例をご提供しています。次のドキュメントをご参照の上、ポリシーの内容をコピーしてポリシー内容のエディタボックス内に貼り付け、入力に間違いがないことを確認してから完了をクリックします。
サブアカウントのCOSアクセス権限の承認
COS API権限承認ポリシー使用ガイド
5. 作成完了後、CAMコンソールのポリシー > カスタムポリシーで、作成したカスタムポリシーを確認し、ポリシーをサブアカウントにバインドすることができます。
6. サブアカウントにチェックを入れ、OKをクリックして権限を承認すると、限定されたCOSリソースにサブアカウントを使用してアクセスできるようになります。
プリセットポリシー
1. CAMではいくつかのプリセットポリシーをご提供しています。CAMコンソールのポリシー > プリセットポリシーで確認し、「COS」を検索してフィルタリングすることができます。
2. ポリシー名をクリックし、ポリシー構文 > JSONに進み、具体的なポリシーの内容を確認します。プリセットポリシーのリソース（resource）はCOSのすべてのリソース("*")に設定されており、変更はサポートされていません。COSバケット、オブジェクトの一部について権限を承認したい場合は、JSONのプリセットポリシーをコピーし、カスタムポリシーを作成することができます。
表1と表2に、CAMがご提供するCOS関連のプリセットポリシーとその説明について列記します。
表1：COSプリセットポリシー
プリセットポリシー
説明
JSONポリシー
QcloudCOSBucketConfigRead
この権限を有するユーザーはCOSバケット設定を読み取ることができます
   
{
    "version": "2.0",
    "statement": [
        {
            "effect": "allow",
            "action": [
                "cos:PutBucket*"
            ],
            "resource": "*"
        }
    ]
}
  
﻿
QcloudCOSBucketConfigWrite
この権限を有するユーザーはCOSバケット設定を変更することができます
﻿
{
    "version": "2.0",
    "statement": [
        {
            "effect": "allow",
            "action": [
                "cos:PutBucket*"
            ],
            "resource": "*"
        }
    ]
}
    
QcloudCOSDataFullControl
COSバケット内のデータの読み取り、書き込み、削除、リストアップを含むアクセス権限
﻿
﻿
{
    "version": "2.0",
    "statement": [
        {
            "effect": "allow",
            "action": [
                "cos:GetService",
                "cos:GetBucket",
                "cos:ListMultipartUploads",
                "cos:GetObject*",
                "cos:HeadObject",
                "cos:GetBucketObjectVersions",
                "cos:OptionsObject",
                "cos:ListParts",
                "cos:DeleteObject",
                "cos:PostObject",
                "cos:PostObjectRestore",
                "cos:PutObject*",
                "cos:InitiateMultipartUpload",
                "cos:UploadPart",
                "cos:UploadPartCopy",
                "cos:CompleteMultipartUpload",
                "cos:AbortMultipartUpload",
                "cos:DeleteMultipleObjects"
            ],
            "resource": "*"
        }
    ]
}
    
﻿
表2：COSの操作とプリセットポリシーとの関係
説明
操作
QcloudCOS Bucket ConfigRead
QcloudCOS Bucket ConfigWrite
QcloudCOS Data FullControl
QcloudCOS Data ReadOnly
QcloudCOS Data WriteOnly
QcloudCOS Full Access
QcloudCOS GetService Access
QcloudCOS ListOnly
QcloudCOS Read OnlyAccess
バケットリストアップ
GetService
❌
❌
✅
❌
❌
✅
✅
✅
✅
バケット作成
PutBucket
❌
✅
❌
❌
❌
✅
❌
❌
❌
バケット削除
DeleteBucket
❌
❌
❌
❌
❌
✅
❌
❌
❌
バケット基本情報取得
HeadBucket
✅
❌
❌
❌
❌
✅
❌
✅
✅
バケット設定項目取得
GetBucket*
✅
❌
❌
❌
❌
✅
❌
❌
✅
バケット設定項目変更
PutBucket*
❌
✅
❌
❌
❌
✅
❌
❌
❌
バケットアクセス権限取得
GetBucketAcl
✅
❌
❌
❌
❌
✅
❌
❌
✅
バケットアクセス権限変更
PutBucketAcl
❌
✅
❌
❌
❌
✅
❌
❌
❌
バケット内オブジェクトリストアップ
GetBucket
✅
❌
✅
❌
❌
✅
❌
✅
✅
バケット内オブジェクトの全バージョンリストアップ
GetBucketObjectVersions
✅
❌
✅
❌
❌
✅
❌
✅
✅
オブジェクトアップロード
PutObject
❌
❌
✅
❌
✅
✅
❌
❌
❌
マルチパートアップロード
ListParts
InitiateMultipartUpload
UploadPart
UploadPartCopy
CompleteMultipartUpload
AbortMultipartUpload
ListMultipartUploads
❌
❌
✅
❌
✅
✅
❌
❌
❌
オブジェクトダウンロード
GetObject
❌
❌
✅
✅
❌
✅
❌
❌
❌
オブジェクトメタデータ確認
HeadObject
❌
❌
✅
✅
❌
✅
❌
❌
✅
クロスドメイン（CORS）事前チェック
OptionsObject
❌
❌
✅
✅
❌
✅
❌
❌
✅
その他のユーザーポリシーの例
サブアカウントのCOSアクセス権限の承認
COS API権限承認ポリシー使用ガイド
﻿

ヘルプとサポート

この記事はお役に立ちましたか？

営業担当者にお問い合わせいただくかチケットを提出してサポートを求めることができます。

フィードバック

要素	ユーザーポリシー	バケットポリシー
プリンシパル	入力不要	入力必須
エフェクト	入力必須	入力必須
アクション	入力必須	入力必須
リソース	入力必須	このバケット内のリソース
条件	オプション	オプション

プリセットポリシー	説明	JSONポリシー
QcloudCOSBucketConfigRead	この権限を有するユーザーはCOSバケット設定を読み取ることができます	{ "version": "2.0", "statement": [ { "effect": "allow", "action": [ "cos:PutBucket" ], "resource": "" } ] }
QcloudCOSBucketConfigWrite	この権限を有するユーザーはCOSバケット設定を変更することができます	{ "version": "2.0", "statement": [ { "effect": "allow", "action": [ "cos:PutBucket" ], "resource": "" } ] }
QcloudCOSDataFullControl	COSバケット内のデータの読み取り、書き込み、削除、リストアップを含むアクセス権限	{ "version": "2.0", "statement": [ { "effect": "allow", "action": [ "cos:GetService", "cos:GetBucket", "cos:ListMultipartUploads", "cos:GetObject", "cos:HeadObject", "cos:GetBucketObjectVersions", "cos:OptionsObject", "cos:ListParts", "cos:DeleteObject", "cos:PostObject", "cos:PostObjectRestore", "cos:PutObject", "cos:InitiateMultipartUpload", "cos:UploadPart", "cos:UploadPartCopy", "cos:CompleteMultipartUpload", "cos:AbortMultipartUpload", "cos:DeleteMultipleObjects" ], "resource": "*" } ] }

説明	操作	QcloudCOS Bucket ConfigRead	QcloudCOS Bucket ConfigWrite	QcloudCOS Data FullControl	QcloudCOS Data ReadOnly	QcloudCOS Data WriteOnly	QcloudCOS Full Access	QcloudCOS GetService Access	QcloudCOS ListOnly	QcloudCOS Read OnlyAccess
バケットリストアップ	GetService	❌	❌	✅	❌	❌	✅	✅	✅	✅
バケット作成	PutBucket	❌	✅	❌	❌	❌	✅	❌	❌	❌
バケット削除	DeleteBucket	❌	❌	❌	❌	❌	✅	❌	❌	❌
バケット基本情報取得	HeadBucket	✅	❌	❌	❌	❌	✅	❌	✅	✅
バケット設定項目取得	GetBucket*	✅	❌	❌	❌	❌	✅	❌	❌	✅
バケット設定項目変更	PutBucket*	❌	✅	❌	❌	❌	✅	❌	❌	❌
バケットアクセス権限取得	GetBucketAcl	✅	❌	❌	❌	❌	✅	❌	❌	✅
バケットアクセス権限変更	PutBucketAcl	❌	✅	❌	❌	❌	✅	❌	❌	❌
バケット内オブジェクトリストアップ	GetBucket	✅	❌	✅	❌	❌	✅	❌	✅	✅
バケット内オブジェクトの全バージョンリストアップ	GetBucketObjectVersions	✅	❌	✅	❌	❌	✅	❌	✅	✅
オブジェクトアップロード	PutObject	❌	❌	✅	❌	✅	✅	❌	❌	❌
マルチパートアップロード	ListParts InitiateMultipartUpload UploadPart UploadPartCopy CompleteMultipartUpload AbortMultipartUpload ListMultipartUploads	❌	❌	✅	❌	✅	✅	❌	❌	❌
オブジェクトダウンロード	GetObject	❌	❌	✅	✅	❌	✅	❌	❌	❌
オブジェクトメタデータ確認	HeadObject	❌	❌	✅	✅	❌	✅	❌	❌	✅
クロスドメイン（CORS）事前チェック	OptionsObject	❌	❌	✅	✅	❌	✅	❌	❌	✅

tencent cloud

Cloud Object Storage

ユーザーポリシー

概要

ユーザーポリシーとバケットポリシーとの違い

プリセットポリシーとカスタムポリシー

ユースケース

ユーザーポリシー構文

ポリシー文法

バケットポリシーの例

ユーザーポリシーによるサブアカウントへのCOSアクセス権限承認

前提条件

設定手順

プリセットポリシー

その他のユーザーポリシーの例

ヘルプとサポート