更新时间:2024-12-09 GMT+08:00

获取桶ACL(Go SDK)

功能介绍

OBS支持对桶操作进行权限控制,您可以为桶设置访问策略,指定某一个用户对某一个桶是否有权行使某一项指定操作。OBS权限控制的方式有IAM、桶策略和ACL三种,ACL按照粒度又分为桶ACL和对象ACL,本节将对桶ACL接口进行详细介绍,更多权限相关内容可参见《对象存储服务权限配置指南》的OBS权限控制概述章节。

桶ACL是跨账号场景的权限,设置授权的对象不是当前账号,也不是当前账号下的IAM用户,而是另一个华为云账号及其账号下的IAM用户;授权的范围是以桶为粒度的,一条ACL策略为一个桶设置策略,因此设置ACL策略时您必须明确指定桶名;桶ACL授予的权限包括桶的访问权限和桶ACL的访问权限两个方面,桶的访问权限包括对桶及桶内对象的查看和编辑权限,桶ACL的访问权限包括对桶ACL策略的查看和编辑权限,详情可参见ACL权限控制方式介绍

调用获取桶ACL接口,您可以获取指定桶的ACL策略。

接口约束

  • 您必须是桶拥有者或拥有获取桶ACL的权限,才能获取桶ACL。建议使用IAM或桶策略进行授权,如果使用IAM则需授予obs:bucket:GetBucketAcl权限,如果使用桶策略则需授予GetBucketAcl权限。相关授权方式介绍可参见OBS权限控制概述,配置方式详见使用IAM自定义策略自定义创建桶策略
  • OBS支持的Region与Endpoint的对应关系,详细信息请参见地区与终端节点

方法定义

func (obsClient ObsClient) GetBucketAcl(bucketName string) (output *GetBucketAclOutput, err error)

请求参数说明

表1 请求参数列表

参数名称

参数类型

是否必选

描述

bucketName

string

必选

参数解释

桶名。

约束限制:

  • 桶的名字需全局唯一,不能与已有的任何桶名称重复,包括其他用户创建的桶。
  • 桶命名规则如下:
    • 3~63个字符,数字或字母开头,支持小写字母、数字、“-”、“.”。
    • 禁止使用IP地址。
    • 禁止以“-”或“.”开头及结尾。
    • 禁止两个“.”相邻(如:“my..bucket”)。
    • 禁止“.”和“-”相邻(如:“my-.bucket”和“my.-bucket”)。
  • 同一用户在同一个区域多次创建同名桶不会报错,创建的桶属性以第一次请求为准。

默认取值

返回结果说明

表2 返回结果列表

参数名称

参数类型

描述

output

*GetBucketAclOutput

参数解释:

接口返回信息,详情参考GetBucketAclOutput

err

error

参数解释:

接口返回错误信息。

表3 GetBucketAclOutput

参数名称

参数类型

描述

StatusCode

int

参数解释:

HTTP状态码。

取值范围:

状态码是一组从2xx(成功)到4xx或5xx(错误)的数字代码,状态码表示了请求响应的状态。完整的状态码列表请参见状态码

默认取值:

RequestId

string

参数解释:

OBS服务端返回的请求ID。

默认取值:

ResponseHeaders

map[string][]string

参数解释:

HTTP响应头信息。

默认取值:

Owner

Owner

参数解释:

桶的所有者,详细参考Owner

Grants

[]Grant

参数解释:

被授权用户权限信息,详细参考Grant

表4 Owner

参数名称

参数类型

是否必选

描述

ID

string

作为请求参数时必选

参数解释:

所有者的账号ID,即domain_id。

取值范围:

如何获取账号ID请参见如何获取账号ID和用户ID?

默认取值:

表5 Grant

参数名称

参数类型

描述

Grantee

Grantee

参数解释:

被授权用户,详细参考Grantee

Permission

PermissionType

参数解释:

被授予的权限,详细参考PermissionType

表6 Grantee

参数名称

参数类型

描述

Type

GranteeType

参数解释:

被授权用户的类型。

取值范围:

被授权用户类型的取值范围详见GranteeType

默认取值:

ID

string

参数解释:

被授权用户的账号ID,即domain_id。

取值范围:

如何获取账号ID请参见如何获取账号ID和用户ID?

默认取值:

DisplayName

string

参数解释:

被授权用户的账号名。

约束限制:

  • 只能以字母开头。
  • 长度为6-32个字符。
  • 只能包含英文字母、数字或特殊字符(-_)。

默认取值:

URI

GroupUriType

参数解释:

被授权的用户组。

取值范围:

授权用户组取值范围详见GroupUriType

默认取值:

表7 GranteeType

常量名

原始值

说明

GranteeGroup

Group

用户组。

GranteeUser

CanonicalUser

单个用户。

表8 GroupUriType

常量名

原始值

说明

GroupAllUsers

AllUsers

所有用户。

表9 PermissionType

常量名

原始值

说明

PermissionRead

READ

读权限。

PermissionWrite

WRITE

写权限。

PermissionReadAcp

READ_ACP

读取ACL配置的权限。

PermissionWriteAcp

WRITE_ACP

修改ACL配置的权限。

PermissionFullControl

FULL_CONTROL

完全控制权限,包括对桶或对象的读写权限,以及对桶或对象ACL配置的读写权限。

代码示例

本示例用于获取名为examplebucket桶的ACL权限控制列表信息

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
package main
import (
    "fmt"
    "os"
    obs "github.com/huaweicloud/huaweicloud-sdk-go-obs/obs"
)
func main() {
    //推荐通过环境变量获取AKSK,这里也可以使用其他外部引入方式传入,如果使用硬编码可能会存在泄露风险。
    //您可以登录访问管理控制台获取访问密钥AK/SK,获取方式请参见https://support.huaweicloud.com/intl/zh-cn/usermanual-ca/ca_01_0003.html。
    ak := os.Getenv("AccessKeyID")
    sk := os.Getenv("SecretAccessKey")
    // 【可选】如果使用临时AK/SK和SecurityToken访问OBS,同样建议您尽量避免使用硬编码,以降低信息泄露风险。您可以通过环境变量获取访问密钥AK/SK,也可以使用其他外部引入方式传入。
    // securityToken := os.Getenv("SecurityToken")
    // endpoint填写Bucket对应的Endpoint, 这里以中国-香港为例,其他地区请按实际情况填写。
    endPoint := "https://obs.ap-southeast-1.myhuaweicloud.com"
    // 创建obsClient实例
    // 如果使用临时AKSK和SecurityToken访问OBS,需要在创建实例时通过obs.WithSecurityToken方法指定securityToken值。
    obsClient, err := obs.New(ak, sk, endPoint, obs.WithSignature(obs.SignatureObs)/*, obs.WithSecurityToken(securityToken)*/)
    if err != nil {
        fmt.Printf("Create obsClient error, errMsg: %s", err.Error())
    }
    // 指定存储桶名称
    bucketname := "examplebucket"
    // 获取桶ACL
    output, err := obsClient.GetBucketAcl(bucketname)
    if err == nil {
        fmt.Printf("Get bucket(%s)'s acl rules successful!\n", bucketname)
        fmt.Printf("RequestId:%s\n", output.RequestId)
        fmt.Printf("Owner.ID:%s\n", output.Owner.ID)
        for index, grant := range output.Grants {
            fmt.Printf("Grant[%d]-Type:%s, ID:%s, URI:%s, Permission:%s\n",
                index, grant.Grantee.Type, grant.Grantee.ID, grant.Grantee.URI, grant.Permission)
        }
        return
    }
    fmt.Printf("Get bucket(%s)'s acl rules fail!\n", bucketname)
    if obsError, ok := err.(obs.ObsError); ok {
        fmt.Println("An ObsError was found, which means your request sent to OBS was rejected with an error response.")
        fmt.Println(obsError.Error())
    } else {
        fmt.Println("An Exception was found, which means the client encountered an internal problem when attempting to communicate with OBS, for example, the client was unable to access the network.")
        fmt.Println(err)
    }
}

相关链接