文档首页/ 对象存储服务 OBS/ SDK参考/ Java/ 多版本控制(Java SDK)/ 获取多版本对象权限(Java SDK)
更新时间:2024-12-11 GMT+08:00

获取多版本对象权限(Java SDK)

功能说明

OBS支持对对象的操作进行权限控制。默认情况下,只有对象的创建者才有该对象的读写权限。OBS用户可以通过ACL操作API接口对已存在的对象更改或者获取ACL(access control list) 。

调用获取桶的获取多版本对象权限接口,将获取指定桶的获取多版本对象权限。

开发过程中,您有任何问题可以在github上提交issue

接口约束

  • 您必须是桶拥有者或拥有获取对象ACL的权限,才能获取对象ACL。建议使用IAM或桶策略进行授权,如果使用IAM则需授予obs:object:GetObjectAcl权限,如果使用桶策略则需授予GetObjectAcl权限。相关授权方式介绍可参见OBS权限控制概述,配置方式详见使用IAM自定义策略配置对象策略
  • OBS支持的region以及region与endPoint的对应关系,详细信息请参见地区与终端节点
  • 用户必须拥有对指定对象读ACP(access control policy)的权限,才能执行获取对象ACL的操作。

方法定义

obsClient.getObjectAcl(GetObjectAclRequest request)

请求参数说明

表1 请求参数列表

参数名称

参数类型

是否必选

描述

request

GetObjectAclRequest

必选

参数解释

获取对象ACL请求参数,详见GetObjectAclRequest

表2 GetObjectAclRequest请求参数列表

参数名称

参数类型

是否必选

描述

bucketName

String

必选

参数解释

桶名。

约束限制:

  • 桶的名字需全局唯一,不能与已有的任何桶名称重复,包括其他用户创建的桶。
  • 桶命名规则如下:
    • 3~63个字符,数字或字母开头,支持小写字母、数字、“-”、“.”。
    • 禁止使用IP地址。
    • 禁止以“-”或“.”开头及结尾。
    • 禁止两个“.”相邻(如:“my..bucket”)。
    • 禁止“.”和“-”相邻(如:“my-.bucket”和“my.-bucket”)。
  • 同一用户在同一个区域多次创建同名桶不会报错,创建的桶属性以第一次请求为准。

默认取值:

objectKey

String

必选

参数解释:

对象名。对象名是对象在存储桶中的唯一标识。对象名是对象在桶中的完整路径,路径中不包含桶名。

例如,您对象的访问地址为examplebucket.obs.ap-southeast-1.myhuaweicloud.com/folder/test.txt 中,对象名为folder/test.txt。

取值范围:

长度大于0且不超过1024的字符串。

默认取值:

versionId

String

必选

参数解释:

对象的版本号。

取值范围:

长度为32的字符串。

默认取值:

返回结果说明

表3 AccessControlList

参数名称

参数类型

是否必选

描述

owner

Owner

可选

参数解释

桶所有者的信息,详见Owner

delivered

boolean

可选

参数解释:

桶的ACL是否向桶内对象传递,作用于桶内所有对象。

取值范围:

true:是,桶ACL向桶内对象传递。

false:否,桶ACL不向桶内对象传递,仅作用于桶。

默认取值:

false

grants

Set<GrantAndPermission>

可选

参数解释:

被授权用户相关信息,详见GrantAndPermission

表4 Owner

参数名称

参数类型

是否必选

描述

id

String

必选

参数解释

桶所有者的账号ID,即domain_id。

取值范围:

如何获取账号ID请参见如何获取账号ID和用户ID?

默认取值:

displayName

String

可选

参数解释:

所有者的账号名。

取值范围:

如何获取账号名请参见如何获取账号名?

默认取值:

表5 GrantAndPermission

参数名称

参数类型

是否必选

描述

grantee

GranteeInterface

必选

参数解释:

被授权用户或用户组,详见GranteeInterface

permission

Permission

必选

参数解释:

用户或用户组被授予的权限。

取值范围:

详见Permission

默认取值:

delivered

boolean

可选

参数解释:

桶的ACL是否向桶内对象传递,作用于桶内所有对象。

取值范围:

true:是,桶ACL向桶内对象传递。

false:否,桶ACL不向桶内对象传递,仅作用于桶。

默认取值:

false

表6 GranteeInterface

参数名称

参数类型

是否必选

描述

CanonicalGrantee

CanonicalGrantee

必选

参数解释:

被授权用户的用户信息,详见CanonicalGrantee

GroupGrantee

GroupGrantee

必选

参数解释:

被授权用户组的用户组信息。

取值范围:

详见GroupGrantee

默认取值:

表7 CanonicalGrantee

参数名称

参数类型

是否必选

描述

grantId

String

如果Type为用户类型则必选

参数解释:

被授权用户的账号ID,即domain_id。

取值范围:

如何获取账号ID请参见如何获取账号ID和用户ID?

默认取值:

displayName

String

可选

参数描述:

被授权用户的账号名。

取值范围:

如何获取账号名请参见如何获取账号名?

默认取值:

表8 GroupGrantee

常量名

说明

ALL_USERS

所有用户。

AUTHENTICATED_USERS

授权用户,已废弃。

LOG_DELIVERY

日志投递组,已废弃。

表9 Permission

常量名

原始值

说明

PERMISSION_READ

READ

读权限。

如果有桶的读权限,则可以获取该桶内对象列表、桶内多段任务、桶的元数据、桶的多版本。

如果有对象的读权限,则可以获取该对象内容和元数据。

PERMISSION_WRITE

WRITE

写权限。

如果有桶的写权限,则可以上传、覆盖和删除该桶内任何对象和段。

此权限在对象上不适用。

PERMISSION_READ_ACP

READ_ACP

读取ACL配置的权限。

如果有读ACP的权限,则可以获取对应的桶或对象的权限控制列表(ACL)。

桶或对象的所有者永远拥有读对应桶或对象ACP的权限。

PERMISSION_WRITE_ACP

WRITE_ACP

修改ACL配置的权限。

如果有写ACP的权限,则可以更新对应桶或对象的权限控制列表(ACL)。

桶或对象的所有者永远拥有写对应桶或对象的ACP的权限。

拥有了写ACP的权限,由于可以更改权限控制策略,实际上意味着拥有了完全访问的权限。

PERMISSION_FULL_CONTROL

FULL_CONTROL

完全控制权限,包括对桶或对象的读写权限,以及对桶或对象ACL配置的读写权限。

如果有桶的完全控制权限意味着拥有READ、WRITE、READ_ACP和WRITE_ACP的权限。

如果有对象的完全控制权限意味着拥有READ、READ_ACP和WRITE_ACP的权限。

代码示例

获取examplebucket桶内objectname对象多版本对象访问权限。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
import com.obs.services.ObsClient;
import com.obs.services.exception.ObsException;
import com.obs.services.model.AccessControlList;
public class GetObjectAcl001 {
    public static void main(String[] args) {
        // 您可以通过环境变量获取访问密钥AK/SK,也可以使用其他外部引入方式传入。如果使用硬编码可能会存在泄露风险。
        // 您可以登录访问管理控制台获取访问密钥AK/SK
        String ak = System.getenv("ACCESS_KEY_ID");
        String sk = System.getenv("SECRET_ACCESS_KEY_ID");
        // 【可选】如果使用临时AK/SK和SecurityToken访问OBS,同样建议您尽量避免使用硬编码,以降低信息泄露风险。
        // 您可以通过环境变量获取访问密钥AK/SK/SecurityToken,也可以使用其他外部引入方式传入。
        // String securityToken = System.getenv("SECURITY_TOKEN");
        // endpoint填写桶所在的endpoint, 此处以中国-香港为例,其他地区请按实际情况填写。
        String endPoint = "https://obs.ap-southeast-1.myhuaweicloud.com";
        // 您可以通过环境变量获取endPoint,也可以使用其他外部引入方式传入。
        //String endPoint = System.getenv("ENDPOINT");
        
        // 创建ObsClient实例
        // 使用永久AK/SK初始化客户端
        ObsClient obsClient = new ObsClient(ak, sk,endPoint);
        // 使用临时AK/SK和SecurityToken初始化客户端
        // ObsClient obsClient = new ObsClient(ak, sk, securityToken, endPoint);

        try {
            // 获取多版本对象访问权限
            AccessControlList acl = obsClient.getObjectAcl("examplebucket", "objectname", "versionid");
            System.out.println("getObjectAcl successfully");
            System.out.println(acl);
        } catch (ObsException e) {
            System.out.println("getObjectAcl failed");
            // 请求失败,打印http状态码
            System.out.println("HTTP Code:" + e.getResponseCode());
            // 请求失败,打印服务端错误码
            System.out.println("Error Code:" + e.getErrorCode());
            // 请求失败,打印详细错误信息
            System.out.println("Error Message:" + e.getErrorMessage());
            // 请求失败,打印请求id
            System.out.println("Request ID:" + e.getErrorRequestId());
            System.out.println("Host ID:" + e.getErrorHostId());
            e.printStackTrace();
        } catch (Exception e) {
            System.out.println("getObjectAcl failed");
            // 其他异常信息打印
            e.printStackTrace();
        }
    }
}

相关链接

  • 关于获取对象ACL的API说明,请参见获取对象ACL
  • 更多关于获取对象ACL的示例代码,请参见Github示例
  • 获取对象ACL过程中返回的错误码含义、问题原因及处理措施可参考OBS错误码