管理桶ACL
访问控制列表(Access Control List,ACL)用于资源拥有者给其他账号授予资源的访问权限。默认情况下,创建存储桶或对象时仅资源拥有者对资源的完全控制权限,即桶创建者对桶拥有完全控制权限,对象上传者对对象拥有完全控制权限,而其他账号默认无权访问资源。如果资源拥有者想授予其他账号资源的读写权限,可以使用ACL实现。OBS桶和对象的ACL是基于账号进行授权,授权后对账号和账号下的IAM用户都生效。
了解更多可参见ACL权限控制方式介绍。
桶ACL可以通过三种方式设置:
- 创建桶时指定预定义ACL。
- 调用ObsClient.SetBucketAcl指定预定义ACL。
- 调用ObsClient.SetBucketAcl自定义ACL。
OBS支持的桶或对象权限包含五类,见下表:
|
权限 |
描述 |
OBS .NET SDK对应值 |
|---|---|---|
|
读权限 |
如果有桶的读权限,则可以获取该桶内对象列表和桶的元数据。 如果有对象的读权限,则可以获取该对象内容和元数据。 |
PermissionEnum.Read |
|
写权限 |
如果有桶的写权限,则可以上传、覆盖和删除该桶内任何对象。 此权限在对象上不适用。 |
PermissionEnum.Write |
|
读ACP权限 |
如果有读ACP的权限,则可以获取对应的桶或对象的权限控制列表(ACL)。 桶或对象的所有者永远拥有读对应桶或对象ACP的权限。 |
PermissionEnum.ReadAcp |
|
写ACP权限 |
如果有写ACP的权限,则可以更新对应桶或对象的权限控制列表(ACL)。 桶或对象的所有者永远拥有写对应桶或对象的ACP的权限。 拥有了写ACP的权限,由于可以更改权限控制策略,实际上意味着拥有了完全访问的权限。 |
PermissionEnum.WriteAcp |
|
完全控制权限 |
如果有桶的完全控制权限意味着拥有读权限、写权限、读ACP权限和写ACP权限的权限。 如果有对象的完全控制权限意味着拥有读权限、写权限、读ACP权限和写ACP权限的权限。 |
PermissionEnum.FullControl |
OBS预定义的访问策略包含五类,见下表:
|
权限 |
描述 |
OBS .NET SDK对应值 |
|---|---|---|
|
私有读写 |
桶或对象的所有者拥有完全控制的权限,其他任何人都没有访问权限。 |
CannedAclEnum.Private |
|
公共读 |
设在桶上,所有人可以获取该桶内对象列表、桶内多段任务、桶的元数据、桶的多版本。 设在对象上,所有人可以获取该对象内容和元数据。 |
CannedAclEnum.PublicRead |
|
公共读写 |
设在桶上,所有人可以获取该桶内对象列表、桶内多段任务、桶的元数据、上传对象、删除对象、初始化段任务、上传段、合并段、拷贝段、取消多段上传任务。 设在对象上,所有人可以获取该对象内容和元数据。 |
CannedAclEnum.PublicReadWrite |
|
桶公共读,桶内对象公共读 |
设在桶上,所有人可以获取该桶内对象列表、桶内多段任务、桶的元数据,可以获取该桶内对象的内容和元数据。 不能应用于对象。 |
CannedAclEnum.PublicReadDelivered |
|
桶公共读写,桶内对象公共读写 |
设在桶上,所有人可以获取该桶内对象列表、桶内多段任务、桶的元数据、上传对象、删除对象、初始化段任务、上传段、合并段、拷贝段、取消多段上传任务,可以获取该桶内对象的内容和元数据。 不能应用于对象。 |
CannedAclEnum.PublicReadWriteDelivered |
创桶时指定预定义ACL
以下代码展示如何在创建桶时指定预定义ACL:
// 初始化配置参数
ObsConfig config = new ObsConfig();
config.Endpoint = "https://your-endpoint";
// 认证用的ak和sk硬编码到代码中或者明文存储都有很大的安全风险,建议在配置文件或者环境变量中密文存放,使用时解密,确保安全;本示例以ak和sk保存在环境变量中为例,运行本示例前请先在本地环境中设置环境变量AccessKeyID和SecretAccessKey。
// 您可以登录访问管理控制台获取访问密钥AK/SK,获取方式请参见https://support.huaweicloud.com/intl/zh-cn/usermanual-ca/ca_01_0003.html
string accessKey= Environment.GetEnvironmentVariable("AccessKeyID", EnvironmentVariableTarget.Machine);
string secretKey= Environment.GetEnvironmentVariable("SecretAccessKey", EnvironmentVariableTarget.Machine);
// 创建ObsClient实例
ObsClient client = new ObsClient(accessKey, secretKey, config);
// 创建桶
try
{
CreateBucketRequest request = new CreateBucketRequest
{
BucketName = "bucketname",
// 设置桶ACL为公共读写
CannedAcl = CannedAclEnum.PublicReadWrite,
};
CreateBucketResponse response = client.CreateBucket(request);
Console.WriteLine("StatusCode: {0}", response.StatusCode);
}
catch (ObsException ex)
{
Console.WriteLine("ErrorCode: {0}", ex.ErrorCode);
Console.WriteLine("ErrorMessage: {0}", ex.ErrorMessage);
}
为桶设置预定义ACL
以下代码展示如何为桶设置预定义ACL:
// 初始化配置参数
ObsConfig config = new ObsConfig();
config.Endpoint = "https://your-endpoint";
// 认证用的ak和sk硬编码到代码中或者明文存储都有很大的安全风险,建议在配置文件或者环境变量中密文存放,使用时解密,确保安全;本示例以ak和sk保存在环境变量中为例,运行本示例前请先在本地环境中设置环境变量AccessKeyID和SecretAccessKey。
// 您可以登录访问管理控制台获取访问密钥AK/SK,获取方式请参见https://support.huaweicloud.com/intl/zh-cn/usermanual-ca/ca_01_0003.html
string accessKey= Environment.GetEnvironmentVariable("AccessKeyID", EnvironmentVariableTarget.Machine);
string secretKey= Environment.GetEnvironmentVariable("SecretAccessKey", EnvironmentVariableTarget.Machine);
// 创建ObsClient实例
ObsClient client = new ObsClient(accessKey, secretKey, config);
//设置桶ACL
try
{
SetBucketAclRequest request = new SetBucketAclRequest
{
BucketName = "bucketname",
// 设置桶ACL为私有
CannedAcl = CannedAclEnum.Private
};
SetBucketAclResponse response = client.SetBucketAcl(request);
Console.WriteLine("Set bucket acl response: {0}", response.StatusCode);
}
catch (ObsException ex)
{
Console.WriteLine("ErrorCode: {0}", ex.ErrorCode);
Console.WriteLine("ErrorMessage: {0}", ex.ErrorMessage);
}
自定义设置桶ACL
以下代码展示如何直接自定义设置桶ACL:
// 初始化配置参数
ObsConfig config = new ObsConfig();
config.Endpoint = "https://your-endpoint";
// 认证用的ak和sk硬编码到代码中或者明文存储都有很大的安全风险,建议在配置文件或者环境变量中密文存放,使用时解密,确保安全;本示例以ak和sk保存在环境变量中为例,运行本示例前请先在本地环境中设置环境变量AccessKeyID和SecretAccessKey。
// 您可以登录访问管理控制台获取访问密钥AK/SK,获取方式请参见https://support.huaweicloud.com/intl/zh-cn/usermanual-ca/ca_01_0003.html
string accessKey= Environment.GetEnvironmentVariable("AccessKeyID", EnvironmentVariableTarget.Machine);
string secretKey= Environment.GetEnvironmentVariable("SecretAccessKey", EnvironmentVariableTarget.Machine);
// 创建ObsClient实例
ObsClient client = new ObsClient(accessKey, secretKey, config);
//设置桶ACL
try
{
//桶的所有者信息
Owner owner = new Owner
{
Id = "ownerid",//所有者的DomainId
};
AccessControlList acl = new AccessControlList();
acl.Owner = owner ;
Grant item = new Grant()
{
Grantee = new GroupGrantee()
{
GroupGranteeType = GroupGranteeEnum.AllUsers
},
Permission = PermissionEnum.FullControl
};
IList<Grant> grants = new List<Grant>();
grants.Add(item);
acl.Grants = grants;
SetBucketAclRequest request = new SetBucketAclRequest()
{
BucketName = "bucketname",
AccessControlList = acl
};
SetBucketAclResponse response = client.SetBucketAcl(request);
Console.WriteLine("Set bucket acl response: {0}", response.StatusCode);
}
catch (ObsException ex)
{
Console.WriteLine("ErrorCode: {0}", ex.ErrorCode);
Console.WriteLine("ErrorMessage: {0}", ex.ErrorMessage);
}
ACL中需要填写的所有者(Owner)或者被授权用户(Grantee)的ID,是指用户的账号ID,可通过OBS控制台“我的凭证”页面查看。
获取桶ACL
您可以通过ObsClient.GetBucketAcl获取桶ACL。以下代码展示如何获取桶ACL:
// 初始化配置参数
ObsConfig config = new ObsConfig();
config.Endpoint = "https://your-endpoint";
// 认证用的ak和sk硬编码到代码中或者明文存储都有很大的安全风险,建议在配置文件或者环境变量中密文存放,使用时解密,确保安全;本示例以ak和sk保存在环境变量中为例,运行本示例前请先在本地环境中设置环境变量AccessKeyID和SecretAccessKey。
// 您可以登录访问管理控制台获取访问密钥AK/SK,获取方式请参见https://support.huaweicloud.com/intl/zh-cn/usermanual-ca/ca_01_0003.html
string accessKey= Environment.GetEnvironmentVariable("AccessKeyID", EnvironmentVariableTarget.Machine);
string secretKey= Environment.GetEnvironmentVariable("SecretAccessKey", EnvironmentVariableTarget.Machine);
// 创建ObsClient实例
ObsClient client = new ObsClient(accessKey, secretKey, config);
//获取桶ACL
try
{
GetBucketAclRequest request = new GetBucketAclRequest
{
BucketName = "bucketname",
};
GetBucketAclResponse response = client.GetBucketAcl(request);
Console.WriteLine("Get bucket acl response: {0}", response.StatusCode);
foreach(Grant grant in response.AccessControlList.Grants)
{
if(grant.Grantee is CanonicalGrantee)
{
Console.WriteLine("Grantee id: {0}", (grant.Grantee as CanonicalGrantee).Id);
}else if(grant.Grantee is GroupGrantee)
{
Console.WriteLine("Grantee type: {0}", (grant.Grantee as GroupGrantee).GroupGranteeType);
}
Console.WriteLine("Grant permission: {0}", grant.Permission);
}
}
catch (ObsException ex)
{
Console.WriteLine("ErrorCode: {0}", ex.ErrorCode);
Console.WriteLine("ErrorMessage: {0}", ex.ErrorMessage);
}
