tencent cloud

对象存储

动态与公告
产品动态
产品公告
产品简介
产品概述
功能概览
应用场景
产品优势
基本概念
地域和访问域名
规格与限制
产品计费
计费概述
计费方式
计费项
免费额度
计费示例
查看和下载账单
欠费说明
常见问题
快速入门
控制台快速入门
COSBrowser 快速入门
用户指南
创建请求
存储桶
对象
数据管理
批量处理
全球加速
监控与告警
运维中心
数据处理
内容审核
智能工具箱
数据工作流
应用集成
工具指南
工具概览
环境安装与配置
COSBrowser 工具
COSCLI 工具
COSCMD 工具
COS Migration 工具
FTP Server 工具
Hadoop 工具
COSDistCp 工具
HDFS TO COS 工具
GooseFS-Lite 工具
在线辅助工具
自助诊断工具
实践教程
概览
访问控制与权限管理
性能优化
使用 AWS S3 SDK 访问 COS
数据容灾备份
域名管理实践
图片处理实践
COS 音视频播放器实践
工作流实践
数据直传
内容审核实践
数据安全
数据校验
大数据实践
COS 成本优化解决方案
在第三方应用中使用 COS
迁移指南
本地数据迁移至 COS
第三方云存储数据迁移至 COS
以 URL 作为源地址的数据迁移至 COS
COS 之间数据迁移
Hadoop 文件系统与 COS 之间的数据迁移
数据湖存储
云原生数据湖
元数据加速
数据加速器 GooseFS
数据处理
数据处理概述
图片处理
媒体处理
内容审核
文件处理
文档处理
故障处理
获取 RequestId 操作指引
通过外网上传文件至 COS 缓慢
访问 COS 时返回403错误码
资源访问异常
POST Object 常见异常
API 文档
简介
公共请求头部
公共响应头部
错误码
请求签名
操作列表
Service 接口
Bucket 接口
Object 接口
批量处理接口
数据处理接口
任务与工作流
内容审核接口
云查毒接口
SDK 文档
SDK 概览
准备工作
Android SDK
C SDK
C++ SDK
.NET(C#) SDK
Flutter SDK
Go SDK
iOS SDK
Java SDK
JavaScript SDK
Node.js SDK
PHP SDK
Python SDK
React Native SDK
小程序 SDK
错误码
鸿蒙(Harmony) SDK
终端 SDK 质量优化
安全与合规
数据容灾
数据安全
访问管理
常见问题
热门问题
一般性问题
计费计量问题
域名合规问题
存储桶配置问题
域名和 CDN 问题
文件操作问题
日志监控问题
权限管理问题
数据处理问题
数据安全问题
预签名 URL 问题
SDK 类问题
工具类问题
API 类问题
服务协议
Service Level Agreement
隐私政策
数据处理和安全协议
联系我们
词汇表
文档对象存储实践教程访问控制与权限管理ACL 访问控制实践

ACL 访问控制实践

PDF
聚焦模式
字号
最后更新时间: 2024-01-06 10:47:50

ACL 概述

访问控制列表(ACL)是基于资源的访问策略选项之一 ,可用来管理对存储桶和对象的访问。使用 ACL 可向其他主账号、子账号和用户组,授予基本的读、写权限。
与访问策略有所不同的是,ACL 的管理权限有以下限制:
仅支持对腾讯云的账户赋予权限
仅支持读对象、写对象、读 ACL、写 ACL 和全部权限等五个操作组
不支持赋予生效条件
不支持显式拒绝效力
ACL 支持的控制粒度:
存储桶(Bucket)
对象键前缀(Prefix)
对象(Object)

ACL 的控制元素

当创建存储桶或对象时,其资源所属的主账号将具备对资源的全部权限,且不可修改或删除。您可以使用 ACL 赋予其他腾讯云账户的访问权限。 如下提供了一个存储桶的 ACL 示例。其中的100000000001表示主账号,100000000011为主账号下的子账号,100000000002表示另一个主账号。ACL 包含了识别该存储桶所有者的 Owner 元素,该存储桶所有者具备该存储桶的全部权限。同时 Grant 元素授予了匿名的读取权限,其表述形式为http://cam.qcloud.com/groups/global/AllUsers的 READ 权限。
<AccessControlPolicy>
  <Owner>
    <ID>qcs::cam::uin/100000000001:uin/100000000001</ID>
    <DisplayName>qcs::cam::uin/100000000001:uin/100000000001</DisplayName>
  </Owner>
  <AccessControlList>
    <Grant>
      <Grantee xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="RootAccount">
        <ID>qcs::cam::uin/100000000001:uin/100000000001</ID>
        <DisplayName>qcs::cam::uin/100000000001:uin/100000000001</DisplayName>
      </Grantee>
      <Permission>FULL_CONTROL</Permission>
    </Grant>
    <Grant>
      <Grantee xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="Group">
        <URI>http://cam.qcloud.com/groups/global/AllUsers</URI>
      </Grantee>
      <Permission>READ</Permission>
    </Grant>
  </AccessControlList>
</AccessControlPolicy>

权限被授予者

主账号 您可以对其他主账号授予用户访问权限,使用 CAM 中对委托人(principal)的定义进行授权。描述为:
qcs::cam::uin/100000000002:uin/100000000002
子账号 您可以对您的主账号下的子账号(如100000000011),或其他主账号下的子账号授权,使用 CAM 中对委托人(principal)的定义进行授权。描述为:
qcs::cam::uin/100000000001:uin/100000000011
匿名用户 您可以对匿名用户授予访问权限,使用 CAM 中对委托人(principal)的定义进行授权。描述为:
http://cam.qcloud.com/groups/global/AllUsers

权限操作组

以下表格提供了 ACL 支持的权限操作组。
操作组
授予存储桶
授予前缀
授予对象
READ
列出和读取存储桶中的对象
列出和读取目录下的对象
读取对象
WRITE
创建、覆盖和删除存储桶中的任意对象
创建、覆盖和删除目录下的任意对象
不支持
READ_ACP
读取存储桶的 ACL
读取目录下的 ACL
读取对象的 ACL
WRITE_ACP
修改存储桶的 ACL
修改目录下的 ACL
修改对象的 ACL
FULL_CONTROL
对存储桶和对象的任何操作
对目录下的对象做任何操作
对对象执行任何操作

标准 ACL 描述

COS 支持一系列的预定义授权,称之为标准 ACL,下表列出了标准 ACL 的授权含义。
注意
由于主账号始终拥有 FULL_CONTROL 权限,以下表格中不再对此特别说明。
标准 ACL
含义
(空)
此为默认策略,其他人无权限,资源继承上级权限
private
其他人没有权限
public-read
匿名用户组具备 READ 权限
public-read-write
匿名用户组具备 READ 和 WRITE 权限,通常不建议在存储桶赋予此权限

使用方法

使用控制台操作 ACL

对存储桶设置 ACL 以下示例表示允许另一个主账号对某个存储桶有读取权限:


对对象设置 ACL 以下示例表示允许另一个主账号对某个对象有读取权限:


注意
如使用子账号访问存储桶或对象出现无权限访问的提示,请先通过主账号为子账号授权以便能够正常访问存储桶,操作步骤请参见 子账号访问存储桶列表

使用 API 操作 ACL

存储桶 ACL
API
操作名
操作描述
设置存储桶 ACL
设置指定存储桶访问权限控制列表
查询存储桶 ACL
查询存储桶的访问控制列表
对象 ACL
API
操作名
操作描述
设置对象 ACL
设置存储桶中某个对象的访问控制列表
查询对象 ACL
查询对象的访问控制列表
上一篇: 概览下一篇: 访问管理实践

帮助和支持

本页内容是否解决了您的问题?

填写满意度调查问卷,共创更好文档体验。

文档反馈