动态与公告

产品动态

产品公告

产品简介

产品概述

功能概览

应用场景

产品优势

基本概念

地域和访问域名

规格与限制

产品计费

计费概述

计费方式

计费项

免费额度

计费示例

查看和下载账单

欠费说明

常见问题

快速入门

控制台快速入门

COSBrowser 快速入门

用户指南

创建请求

存储桶

对象

数据管理

批量处理

全球加速

监控与告警

运维中心

数据处理

内容审核

智能工具箱

数据工作流

应用集成

工具指南

工具概览

环境安装与配置

COSBrowser 工具

COSCLI 工具

COSCMD 工具

COS Migration 工具

FTP Server 工具

Hadoop 工具

COSDistCp 工具

HDFS TO COS 工具

GooseFS-Lite 工具

在线辅助工具

自助诊断工具

实践教程

概览

访问控制与权限管理

性能优化

使用 AWS S3 SDK 访问 COS

数据容灾备份

域名管理实践

图片处理实践

COS 音视频播放器实践

工作流实践

数据直传

内容审核实践

数据安全

数据校验

大数据实践

COS 成本优化解决方案

在第三方应用中使用 COS

迁移指南

本地数据迁移至 COS

第三方云存储数据迁移至 COS

以 URL 作为源地址的数据迁移至 COS

COS 之间数据迁移

Hadoop 文件系统与 COS 之间的数据迁移

数据湖存储

云原生数据湖

元数据加速

数据加速器 GooseFS

数据处理

数据处理概述

图片处理

媒体处理

内容审核

文件处理

文档处理

故障处理

获取 RequestId 操作指引

通过外网上传文件至 COS 缓慢

访问 COS 时返回403错误码

资源访问异常

POST Object 常见异常

API 文档

简介

公共请求头部

公共响应头部

错误码

请求签名

操作列表

Service 接口

Bucket 接口

Object 接口

批量处理接口

数据处理接口

任务与工作流

内容审核接口

云查毒接口

SDK 文档

SDK 概览

准备工作

Android SDK

C SDK

C++ SDK

.NET(C#) SDK

Flutter SDK

Go SDK

iOS SDK

Java SDK

JavaScript SDK

Node.js SDK

PHP SDK

Python SDK

React Native SDK

小程序 SDK

错误码

鸿蒙(Harmony) SDK

终端 SDK 质量优化

安全与合规

数据容灾

数据安全

访问管理

常见问题

热门问题

一般性问题

计费计量问题

域名合规问题

存储桶配置问题

域名和 CDN 问题

文件操作问题

日志监控问题

权限管理问题

数据处理问题

数据安全问题

预签名 URL 问题

SDK 类问题

工具类问题

API 类问题

服务协议

Service Level Agreement

隐私政策

数据处理和安全协议

联系我们

词汇表

临时密钥生成及使用指引

PDF

聚焦模式

字号

最后更新时间： 2024-01-06 10:47:50

注意
使用临时密钥授权访问时，请务必根据业务需要，按照最小权限原则进行授权。如果您直接授予所有资源(resource:*)，或者所有操作(action:*)权限，则存在由于权限范围过大导致的数据安全风险。
您在申请临时密钥时，如果指定了权限范围，那么申请到的临时密钥也只能在权限范围内进行操作。例如您在申请临时密钥时，指定了可以往存储桶 examplebucket-1-1250000000 上传文件的权限范围，那么申请到的密钥不能将文件上传到 examplebucket-2-1250000000，也不能从 examplebucket-1-1250000000 中下载文件。
临时密钥
临时密钥（临时访问凭证） 是通过 CAM 云 API 提供的接口，获取到权限受限的密钥。
COS API 可以使用临时密钥计算签名，用于发起 COS API 请求。
COS API 请求使用临时密钥计算签名时，需要用到获取临时密钥接口返回信息中的三个字段，如下：
TmpSecretId
TmpSecretKey
Token
使用临时密钥的优势
Web、iOS、Android 使用 COS 时，通过固定密钥计算签名方式不能有效地控制权限，同时把永久密钥放到客户端代码中有极大的泄露风险。如若通过临时密钥方式，则可以方便、有效地解决权限控制问题。
例如，在申请临时密钥过程中，可以通过设置权限策略 policy 字段，限制操作和资源，将权限限制在指定的范围内。
有关 COS API 授权策略，请参见：
COS API 临时密钥授权策略指引
常见场景的临时密钥权限策略示例
获取临时密钥
获取临时密钥，可以通过提供的 COS STS SDK 方式获取，也可以直接请求 STS 云 API 的方式获取。
注意
 举例使用的是 Java SDK ，需要在 GitHub 上获取 SDK 代码（版本号）。若提示找不到对应 SDK 版本号，请确认是否在 GitHub 上获取到对应版本的 SDK。
COS STS SDK
COS 针对 STS 提供了 SDK 和样例，目前已有 Java、Nodejs、PHP、Python、Go 等多种语言的样例。具体内容请参见 COS STS SDK。各个 SDK 的使用说明请参见 Github 上的 README 和样例。各语言 GitHub 地址如下表格所示：
语言类型
代码安装地址
代码示例地址
Java
安装地址
示例地址
.NET
安装地址
示例地址
Go
安装地址
示例地址
NodeJS
安装地址
示例地址
PHP
安装地址
示例地址
Python
安装地址
示例地址
注意
 STS SDK 为了屏蔽 STS 接口本身版本间的差异性，返回参数结构不一定与 STS 接口完全一致，详情请参见 Java SDK 文档。
假设您使用的是 Java SDK，请先下载 Java SDK，然后运行如下获取临时密钥示例：
代码示例
// 根据 github 提供的 maven 集成方法导入 java sts sdk，使用 3.1.0 及更高版本
public class Demo {
    public static void main(String[] args) {
        TreeMap<String, Object> config = new TreeMap<String, Object>();
﻿
        try {
            //这里的 SecretId 和 SecretKey 代表了用于申请临时密钥的永久身份（主账号、子账号等），子账号需要具有操作存储桶的权限。
            String secretId = System.getenv("secretId");//用户的 SecretId，建议使用子账号密钥，授权遵循最小权限指引，降低使用风险。子账号密钥获取可参见 https://www.tencentcloud.com/document/product/598/37140?from_cn_redirect=1
             String secretKey = System.getenv("secretKey");//用户的 SecretKey，建议使用子账号密钥，授权遵循最小权限指引，降低使用风险。子账号密钥获取可参见 https://www.tencentcloud.com/document/product/598/37140?from_cn_redirect=1
            // 替换为您的云 api 密钥 SecretId
            config.put("secretId", secretId);
            // 替换为您的云 api 密钥 SecretKey
            config.put("secretKey", secretKey);
﻿
            // 设置域名: 
            // 如果您使用了腾讯云 cvm，可以设置内部域名
            //config.put("host", "sts.internal.tencentcloudapi.com");
﻿
            // 临时密钥有效时长，单位是秒，默认 1800 秒，目前主账号最长 2 小时（即 7200 秒），子账号最长 36 小时（即 129600）秒
            config.put("durationSeconds", 1800);
﻿
            // 换成您的 bucket
            config.put("bucket", "examplebucket-1250000000");
            // 换成 bucket 所在地区
            config.put("region", "ap-guangzhou");
﻿
            // 这里改成允许的路径前缀，可以根据自己网站的用户登录态判断允许上传的具体路径
            // 列举几种典型的前缀授权场景：
            // 1、允许访问所有对象："*"
            // 2、允许访问指定的对象："a/a1.txt", "b/b1.txt"
            // 3、允许访问指定前缀的对象："a*", "a/*", "b/*"
            // 如果填写了“*”，将允许用户访问所有资源；除非业务需要，否则请按照最小权限原则授予用户相应的访问权限范围。
            config.put("allowPrefixes", new String[] {
                    "exampleobject",
                    "exampleobject2"
            });
﻿
            // 密钥的权限列表。必须在这里指定本次临时密钥所需要的权限。
            // 简单上传、表单上传和分块上传需要以下的权限，其他权限列表请参见 https://www.tencentcloud.com/document/product/436/30580
            String[] allowActions = new String[] {
                     // 简单上传
                    "name/cos:PutObject",
                    // 表单上传、小程序上传
                    "name/cos:PostObject",
                    // 分块上传
                    "name/cos:InitiateMultipartUpload",
                    "name/cos:ListMultipartUploads",
                    "name/cos:ListParts",
                    "name/cos:UploadPart",
                    "name/cos:CompleteMultipartUpload"
            };
            config.put("allowActions", allowActions);
                /**
             * 设置condition（如有需要）
             //# 临时密钥生效条件，关于condition的详细设置规则和COS支持的condition类型可以参考 https://www.tencentcloud.com/document/product/436/71307?from_cn_redirect=1
             final String raw_policy = "{\\n" +
             "  \\"version\\":\\"2.0\\",\\n" +
             "  \\"statement\\":[\\n" +
             "    {\\n" +
             "      \\"effect\\":\\"allow\\",\\n" +
             "      \\"action\\":[\\n" +
             "          \\"name/cos:PutObject\\",\\n" +
             "          \\"name/cos:PostObject\\",\\n" +
             "          \\"name/cos:InitiateMultipartUpload\\",\\n" +
             "          \\"name/cos:ListMultipartUploads\\",\\n" +
             "          \\"name/cos:ListParts\\",\\n" +
             "          \\"name/cos:UploadPart\\",\\n" +
             "          \\"name/cos:CompleteMultipartUpload\\"\\n" +
             "        ],\\n" +
             "      \\"resource\\":[\\n" +
             "          \\"qcs::cos:ap-shanghai:uid/1250000000:examplebucket-1250000000/*\\"\\n" +
             "      ],\\n" +
             "      \\"condition\\": {\\n" +
             "        \\"ip_equal\\": {\\n" +
             "            \\"qcs:ip\\": [\\n" +
             "                \\"192.168.1.0/24\\",\\n" +
             "                \\"101.226.100.185\\",\\n" +
             "                \\"101.226.100.186\\"\\n" +
             "            ]\\n" +
             "        }\\n" +
             "      }\\n" +
             "    }\\n" +
             "  ]\\n" +
             "}";
﻿
             config.put("policy", raw_policy);
             */				
﻿
﻿
            Response response = CosStsClient.getCredential(config);
            System.out.println(response.credentials.tmpSecretId);
            System.out.println(response.credentials.tmpSecretKey);
            System.out.println(response.credentials.sessionToken);
        } catch (Exception e) {
            e.printStackTrace();
            throw new IllegalArgumentException("no valid secret !");
        }
    }
}
常见问题和解答
JSONObject 包冲突导致 NoSuchMethodError
使用3.1.0及以后的版本。
使用临时密钥访问 COS
 COS API 使用临时密钥访问 COS 服务时，通过 x-cos-security-token 字段传递临时 sessionToken，通过临时 SecretId 和 SecretKey 计算签名。
以 COS Java SDK 为例，使用临时密钥访问 COS 示例如下：
说明
 运行如下示例前，请前往 Github 项目 获取 Java SDK 安装包。
// 根据 github 提供的 maven 集成方式导入 cos xml java sdk
import com.qcloud.cos.*;
import com.qcloud.cos.auth.*;
import com.qcloud.cos.exception.*;
import com.qcloud.cos.model.*;
import com.qcloud.cos.region.*;
public class Demo {
    public static void main(String[] args) throws Exception {
﻿
        // 用户基本信息
        String tmpSecretId = "COS_SECRETID";   // 替换为 STS 接口返回给您的临时 SecretId 
        String tmpSecretKey = "COS_SECRETKEY";  // 替换为 STS 接口返回给您的临时 SecretKey
        String sessionToken = "Token";  // 替换为 STS 接口返回给您的临时 Token
﻿
        // 1 初始化用户身份信息(secretId, secretKey)
        COSCredentials cred = new BasicCOSCredentials(tmpSecretId, tmpSecretKey);
        // 2 设置 bucket 区域,详情请参见 COS 地域 https://www.tencentcloud.com/document/product/436/6224?from_cn_redirect=1
        ClientConfig clientConfig = new ClientConfig(new Region("ap-guangzhou"));
        // 3 生成 cos 客户端
        COSClient cosclient = new COSClient(cred, clientConfig);
        // bucket 名需包含 appid
        String bucketName = "examplebucket-1250000000";
﻿
        String key = "exampleobject";
        // 上传 object, 建议 20M 以下的文件使用该接口
        File localFile = new File("src/test/resources/text.txt");
        PutObjectRequest putObjectRequest = new PutObjectRequest(bucketName, key, localFile);
﻿
        // 设置 x-cos-security-token header 字段
        ObjectMetadata objectMetadata = new ObjectMetadata();
        objectMetadata.setSecurityToken(sessionToken);
        putObjectRequest.setMetadata(objectMetadata);
﻿
        try {
            PutObjectResult putObjectResult = cosclient.putObject(putObjectRequest);
            // 成功：putobjectResult 会返回文件的 etag
            String etag = putObjectResult.getETag();
        } catch (CosServiceException e) {
            //失败，抛出 CosServiceException
            e.printStackTrace();
        } catch (CosClientException e) {
            //失败，抛出 CosClientException
            e.printStackTrace();
        }
﻿
        // 关闭客户端
        cosclient.shutdown();
﻿
    }
}

帮助和支持

本页内容是否解决了您的问题？

您也可以联系销售或提交工单以寻求帮助。

填写满意度调查问卷，共创更好文档体验。

文档反馈

tencent cloud

对象存储

临时密钥生成及使用指引

临时密钥

使用临时密钥的优势

获取临时密钥

COS STS SDK

代码示例

常见问题和解答

JSONObject 包冲突导致 NoSuchMethodError

使用临时密钥访问 COS

帮助和支持

语言类型	代码安装地址	代码示例地址
Java	安装地址	示例地址
.NET	安装地址	示例地址
Go	安装地址	示例地址
NodeJS	安装地址	示例地址
PHP	安装地址	示例地址
Python	安装地址	示例地址