tencent cloud

Cloud Object Storage

最新情報とお知らせ
製品アップデート情報
製品のお知らせ
製品概要
製品概要
機能概要
応用シナリオ
製品の優位性
基本概念
リージョンとアクセスドメイン名
仕様と制限
製品の課金
課金概要
課金方式
課金項目
無料利用枠
記帳例
請求書の確認とダウンロード
お支払い遅れについて
よくある質問
クイックスタート
コンソールクイックスタート
COSBrowserクイックスタート
ユーザーガイド
リクエストの作成
バケット
オブジェクト
データ管理
バッチ処理
グローバルアクセラレーション
監視とアラーム
運用管理センター
データ処理
インテリジェントツールボックス使用ガイド
データワークフロー
アプリ統合
ツールガイド
ツール概要
環境のインストールと設定
COSBrowserツール
COSCLIツール
COSCMDツール
COS Migrationツール
FTP Serverツール
Hadoopツール
COSDistCpツール
HDFS TO COSツール
オンラインツール (Onrain Tsūru)
セルフ診断ツール
実践チュートリアル
概要
アクセス制御と権限管理
パフォーマンスの最適化
AWS S3 SDKを使用したCOSアクセス
データディザスタリカバリバックアップ
ドメイン名管理の実践
画像処理の実践
COSオーディオビデオプレーヤーの実践
データセキュリティ
データ検証
COSコスト最適化ソリューション
サードパーティアプリケーションでのCOSの使用
移行ガイド
サードパーティクラウドストレージのデータをCOSへ移行
データレークストレージ
クラウドネイティブデータレイク
メタデータアクセラレーション
データアクセラレーター GooseFS
データ処理
データ処理概要
画像処理
メディア処理
コンテンツ審査
ファイル処理
ドキュメントプレビュー
トラブルシューティング
RequestId取得の操作ガイド
パブリックネットワーク経由でのCOSへのファイルアップロード速度の遅さ
COSへのアクセス時に403エラーコードが返される
リソースアクセス異常
POST Objectの一般的な異常
セキュリティとコンプライアンス
データ災害復帰
データセキュリティ
クラウドアクセスマネジメント
よくある質問
よくあるご質問
一般的な問題
従量課金に関するご質問
ドメインコンプライアンスに関するご質問
バケット設定に関する質問
ドメイン名とCDNに関するご質問
ファイル操作に関するご質問
権限管理に関するご質問
データ処理に関するご質問
データセキュリティに関するご質問
署名付きURLに関するご質問
SDKクラスに関するご質問
ツール類に関するご質問
APIクラスに関するご質問
Agreements
Service Level Agreement
プライバシーポリシー
データ処理とセキュリティ契約
連絡先
用語集
ドキュメントCloud Object Storageセキュリティとコンプライアンスクラウドアクセスマネジメントアクセス権限設定の説明権限制御方法の紹介権限承認方式の選択方法

権限承認方式の選択方法

PDF
フォーカスモード
フォントサイズ
最終更新日: 2024-06-26 11:09:29

バケットポリシー、ユーザーポリシー、バケットACL、オブジェクトACLの違い

ユーザーポリシー、バケットポリシー、バケットACL、オブジェクトACLの間の違いについては表1のとおりです。
ユーザーポリシーはユーザーベースの権限承認方式であり、バケットポリシー、バケットACL、オブジェクトACLはリソースベースの権限承認方式です。
ユーザーポリシーとバケットポリシーの権限承認はアクセスポリシー言語に基づいて行われ、権限制御の柔軟性の程度がより高くなっています。権限はそれぞれのアクション(action)について具体的に付与され、なおかつ権限のエフェクト(effect)をdenyまたはallowとすることができます。バケットACLとオブジェクトACLはどちらもアクセス制御リスト(ACL)をベースにした権限承認であり、権限制御の柔軟性の程度は相対的に低く、より簡単に使用することができますが、サポートされる権限は基本的な読み取り/書き込み権限のみです。
ユーザーポリシーは匿名ユーザーへの権限承認をサポートしていません。バケットポリシー、バケットACL、オブジェクトACLは匿名ユーザーへの権限承認をサポートしています。
ユーザーポリシーはCloud Access Management(CAM)コンソールで設定し、バケットポリシー、バケットACL、オブジェクトACLはCloud Object Storage(COS)コンソールで設定します。
表1 権限承認方式の違いの比較
比較項目
ユーザーポリシー
バケットポリシー
バケットACL
オブジェクトACL
分類
ユーザーベースの権限承認
リソースベースの権限承認
リソースベースの権限承認
リソースベースの権限承認
権限制御の柔軟性の程度
柔軟性が高い
柔軟性が高い
柔軟性が低い
柔軟性が低い
コンソール設定
CAMコンソール
COSコンソール
COSコンソール
COSコンソール
ユーザー
このアカウントが管理するすべてのCAM ID(サブアカウント、ロールなど)
サブアカウント、ルートアカウント、匿名ユーザー
サブアカウント、他のルートアカウント、匿名ユーザー
サブアカウント、他のルートアカウント、匿名ユーザー
サブアカウントのTencent Cloudサービス、ロールなど
クロスアカウント権限承認を行う場合は先にコラボレーターとしての追加が必要
クロスアカウント権限承認を直接サポート
エフェクト
許可+拒否
許可+拒否
許可のみ
許可のみ
リソース
すべてのリソース、COSのすべてのバケット、指定のバケット(プレフィックス、オブジェクトなど)
指定のバケット(プレフィックス、オブジェクトなど)
バケット全体
指定のオブジェクト
アクション
具体的な各アクション
具体的な各アクション(バケット作成、バケットリストアップを除く)
簡略化された読み取り/書き込み権限
簡略化された読み取り/書き込み権限
条件
サポートしています
サポートしています
サポートしていません
サポートしていません


適切な権限承認方式を選択するにはどうすればよいですか。

表1に列記した違いから、それぞれの権限承認方式の優劣を判断し、お客様ご自身の必要性に応じて適切な権限承認方式をご選択いただくことができます。 ただし、どの方式を選択する場合でも、できる限り統一性を保つことをお勧めします。バケットポリシー、ユーザーポリシー、ACLの数が増えるにつれて、権限の維持管理が難しくなります。

ACLを選択するのはどのような場合ですか。

注意:
匿名ユーザーにアクセスを開放すること(パブリック読み取り)はハイリスクな操作であり、トラフィックが不正使用される危険性があります。やむを得ずパブリック読み取りを使用する場合は、リンク不正アクセス防止の設定によってセキュリティ保護を実行できます。
バケットとオブジェクトに簡単なアクセス権限のみを設定したい場合、または匿名ユーザーにアクセスを開放したい場合はACLを選択できます。ただし、より多くの状況下では、バケットポリシーまたはユーザーポリシーの方が柔軟性が高いため、これらを優先的に使用することをお勧めします。
簡単なアクセス権限のみを設定する場合。
コンソールでアクセス権限をすばやく設定する場合。
あるオブジェクト、ディレクトリまたはバケットへのアクセスをすべての匿名インターネットユーザーに開放したい場合は、ACLによる操作の方が便利です。
各アカウント下に設定できるACLの数は1000個までです。この上限を超える場合はバケットポリシーまたはユーザーポリシーを代わりに選択してください。

ユーザーポリシーを選択するのはどのような場合ですか。

ユーザーが行えることについてお知りになりたい場合は、ユーザーポリシーを推奨します。CAMユーザーを検索し、その所属するユーザーグループの権限を確認することで、ユーザーが何を行うことができるかを知ることができます。次のようなケースで推奨されます。
バケット作成、バケットリストアップなどの、COSサービスレベルの権限を設定したい場合。
ルートアカウント下のすべてのCOSバケットおよびオブジェクトを使用したい場合。
ルートアカウント下の大量のCAMユーザーに同等の権限を付与したい場合。

バケットポリシーを選択するのはどのような場合ですか。

そのCOSバケットに誰がアクセス可能かをお知りになりたい場合は、バケットポリシーの使用をお勧めします。バケットを検索し、バケットポリシーをチェックすることで、アクセス可能な人が誰かを知ることができます。次のようなケースで推奨されます。
特定のバケットについて単独で権限を付与する場合。
ACLと異なり、権限は特定のアクション(action)について具体的に付与され、権限のエフェクト(effect)をdenyまたはallowとする必要があります。
ユーザーポリシーと異なり、バケットポリシーはクロスアカウント権限承認および匿名ユーザーへの権限承認をサポートしています。
前の記事へ: タグに基づくプロジェクトリソースの管理次の記事へ: アクセスポリシーの言語概要

ヘルプとサポート

この記事はお役に立ちましたか?

フィードバック