设置对象ACL(Python SDK)_对象存储服务 OBS_Python

功能说明

OBS支持对对象的操作进行权限控制。默认情况下，只有对象的创建者才有该对象的读写权限。用户也可以设置其他的访问策略，比如对一个对象可以设置公共访问策略，允许所有人对其都有读权限。SSE-KMS方式加密的对象即使设置了ACL，跨租户也不生效。

OBS用户在上传对象时可以设置权限控制策略，也可以通过ACL操作API接口对已存在的对象更改或者获取ACL(access control list) 。

可以通过本接口设置指定桶中对象的访问权限。

接口约束

您必须是桶拥有者或拥有设置对象ACL的权限，才能设置对象ACL。建议使用IAM或桶策略进行授权，如果使用IAM则需授予obs:object:PutObjectAcl权限，如果使用桶策略则需授予PutObjectAcl权限。相关授权方式介绍可参见OBS权限控制概述，配置方式详见使用IAM自定义策略、配置对象策略。
OBS支持的Region与Endpoint的对应关系，详细信息请参见地区与终端节点。
一个对象的ACL最多支持配置100条授权策略。

方法定义

ObsClient.setObjectAcl(bucketName, objectKey, acl, versionId, aclControl)

请求参数

表1 请求参数列表
参数名称	参数类型	是否必选	描述
bucketName	str	必选	参数解释：桶名。约束限制：桶的名字需全局唯一，不能与已有的任何桶名称重复，包括其他用户创建的桶。桶命名规则如下： 3～63个字符，数字或字母开头，支持小写字母、数字、“-”、“.”。禁止使用IP地址。禁止以“-”或“.”开头及结尾。禁止两个“.”相邻（如：“my..bucket”）。禁止“.”和“-”相邻（如：“my-.bucket”和“my.-bucket”）。同一用户在同一个区域多次创建同名桶不会报错，创建的桶属性以第一次请求为准。默认取值：无
objectKey	str	必选	参数解释：对象名。对象名是对象在存储桶中的唯一标识。对象名是对象在桶中的完整路径，路径中不包含桶名。例如，您对象的访问地址为examplebucket.obs.ap-southeast-1.myhuaweicloud.com/folder/test.txt 中，对象名为folder/test.txt。取值范围：长度大于0且不超过1024的字符串。默认取值：无
acl	ACL	可选	参数解释：对象的访问权限。取值范围： acl取值详见ACL。默认取值：无
versionId	str	可选	参数解释：对象的版本号。例如：G001117FCE89978B0000401205D5DC9A。取值范围：长度为32的字符串。默认取值：无
aclControl	HeadPermission	可选	参数解释：预定义访问策略。详见HeadPermission 默认取值：无

acl与aclControl互斥。

表2 ACL
参数名称	参数类型	是否必选	描述
owner	Owner	作为请求参数时必选	参数解释：所有者信息。详见Owner。约束限制： Owner和Grants必须配套使用，且与aclControl互斥。默认取值：无
grants	list of Grant	作为请求参数时必选	参数解释：被授权用户权限信息列表。详见Grant。约束限制： Owner和Grants必须配套使用，且与aclControl互斥。默认取值：无
delivered	bool	作为请求参数时可选	参数解释：桶的ACL是否向桶内对象传递，仅在设置对象权限时有效。取值范围： True:桶内传递对象 False:不向桶内传递对象默认取值： False

表3 HeadPermission
常量值	说明
PRIVATE	私有读写。桶或对象的所有者拥有完全控制的权限，其他任何人都没有访问权限。
PUBLIC_READ	公共读私有写。设在桶上，所有人可以获取该桶内对象列表、桶内多段任务、桶的元数据、桶的多版本。设在对象上，所有人可以获取该对象内容和元数据。
PUBLIC_READ_WRITE	公共读写。设在桶上，所有人可以获取该桶内对象列表、桶内多段任务、桶的元数据、桶的多版本、上传对象、删除对象、初始化段任务、上传段、合并段、拷贝段、取消多段上传任务。设在对象上，所有人可以获取该对象内容和元数据。
PUBLIC_READ_DELIVERED	桶公共读，桶内对象公共读。设在桶上，所有人可以获取该桶内对象列表、桶内多段任务、桶的元数据、桶的多版本，可以获取该桶内对象的内容和元数据。说明： PUBLIC_READ_DELIVERED不能应用于对象。
PUBLIC_READ_WRITE_DELIVERED	桶公共读写，桶内对象公共读写。设在桶上，所有人可以获取该桶内对象列表、桶内多段任务、桶的元数据、桶的多版本、上传对象、删除对象、初始化段任务、上传段、合并段、拷贝段、取消多段上传任务，可以获取该桶内对象的内容和元数据。说明： PUBLIC_READ_WRITE_DELIVERED不能应用于对象。
BUCKET_OWNER_FULL_CONTROL	设在对象上，桶和对象的所有者拥有对象的完全控制权限，其他任何人都没有访问权限。默认情况下，上传对象至其他用户的桶中，桶拥有者没有对象的控制权限。对象拥有者为桶拥有者添加此权限控制策略后，桶所有者可以完全控制对象。例如，用户A上传对象x至用户B的桶中，系统默认用户B没有对象x的控制权。当用户A为对象x设置bucket-owner-full-control策略后，用户B就拥有了对象x的控制权。

表4 Owner
参数名称	参数类型	是否必选	描述
owner_id	str	作为请求参数时必选	参数解释：所有者的账号ID，即domain_id。取值范围：如何获取账号ID请参见如何获取账号ID和用户ID? 默认取值：无
owner_name	str	作为请求参数时可选	参数解释：所有者的账号用户名。取值范围：如何获取账号用户名请参见如何获取用户名? 默认取值：无

表5 Grant
参数名称	参数类型	是否必选	描述
grantee	Grantee	作为请求参数时必选	参数解释：被授权用户。取值范围：被授权用户类型的取值范围详见Grantee。默认取值：无
permission	str	作为请求参数时必选	参数解释：被授予的权限。取值范围：权限取值范围详见权限。默认取值：无
delivered	bool	作为请求参数时可选	参数解释：桶的ACL是否向桶内对象传递。作用于桶内所有对象。取值范围： True：是，桶ACL向桶内对象传递。 False：否，桶ACL不向桶内对象传递，仅作用于桶。默认取值： False

表6 Permission
常量值	说明
READ	读权限。如果有桶的读权限，则可以获取该桶内对象列表、桶内多段任务、桶的元数据、桶的多版本。如果有对象的读权限，则可以获取该对象内容和元数据。
WRITE	写权限。如果有桶的写权限，则可以上传、覆盖和删除该桶内任何对象和段。此权限在对象上不适用。
READ_ACP	读取ACL配置的权限。如果有读ACP的权限，则可以获取对应的桶或对象的权限控制列表（ACL）。桶或对象的所有者永远拥有读对应桶或对象ACP的权限。
WRITE_ACP	修改ACL配置的权限。如果有写ACP的权限，则可以更新对应桶或对象的权限控制列表（ACL）。桶或对象的所有者永远拥有写对应桶或对象的ACP的权限。拥有了写ACP的权限，由于可以更改权限控制策略，实际上意味着拥有了完全访问的权限。
FULL_CONTROL	完全控制权限，包括对桶或对象的读写权限，以及对桶或对象ACL配置的读写权限。如果有桶的完全控制权限意味着拥有READ、WRITE、READ_ACP和WRITE_ACP的权限。如果有对象的完全控制权限意味着拥有READ、READ_ACP和WRITE_ACP的权限。

表7 Grantee
参数名称	参数类型	是否必选	描述
grantee_id	str	作为请求参数时，如果group为空则必选。	参数解释：被授权用户的账号ID，即domain_id。取值范围：如何获取账号ID请参见获取账号ID。默认取值：无
grantee_name	str	作为请求参数时可选	参数解释：被授权用户的账号名。约束限制：不支持中文。只能以字母开头。长度为6-32个字符。只能包含英文字母、数字或特殊字符(-_)。默认取值：无
group	str	作为请求参数时，如果grantee_id为空则必选。	参数解释：被授权的用户组。取值范围：授权用户组取值范围详见用户组。默认取值：无

表8 Group
常量值	说明
ALL_USERS	所有用户。
AUTHENTICATED_USERS	授权用户，已废弃。
LOG_DELIVERY	日志投递组，已废弃。

返回结果

表9 返回结果
类型	说明
GetResult	参数解释： SDK公共结果对象。

**表10** GetResult
参数名称	参数类型	描述
status	int	参数解释： HTTP状态码。取值范围：状态码是一组从2xx（成功）到4xx或5xx（错误）的数字代码，状态码表示了请求响应的状态。完整的状态码列表请参见状态码。默认取值：无
reason	str	参数解释： HTTP文本描述。默认取值：无
errorCode	str	参数解释： OBS服务端错误码，当status参数小于300时为空。默认取值：无
errorMessage	str	参数解释： OBS服务端错误描述，当status参数小于300时为空。默认取值：无
requestId	str	参数解释： OBS服务端返回的请求ID。默认取值：无
indicator	str	参数解释： OBS服务端返回的错误定位码。默认取值：无
hostId	str	参数解释：请求的服务端ID，当status参数小于300时为空。默认取值：无
resource	str	参数解释：发生错误时相关的桶或对象，当status参数小于300时为空。默认取值：无
header	list	参数解释：响应消息头列表，由多个元组构成。每个元组均包含两个元素，代表响应头的键值对。默认取值：无
body	object	参数解释：操作成功后的结果数据，当status大于300时为空。该值根据调用接口的不同而不同，参见“桶相关接口”章节和“对象相关接口”章节的详细描述。默认取值：无

指定acl参数设置对象ACL

本示例用于设置objectname对象ACL为单个用户（ID为userid）读写。

    
     
       
       
         from obs import ObsClient
import os
from obs import ACL
from obs import Owner
from obs import Grant, Permission
from obs import Grantee
import traceback

# 推荐通过环境变量获取AKSK，这里也可以使用其他外部引入方式传入，如果使用硬编码可能会存在泄露风险。
# 您可以登录访问管理控制台获取访问密钥AK/SK，获取方式请参见https://support.huaweicloud.com/intl/zh-cn/usermanual-ca/ca_01_0003.html。
ak = os.getenv("AccessKeyID")
sk = os.getenv("SecretAccessKey")
# 【可选】如果使用临时AKSK和SecurityToken访问OBS，则同样推荐通过环境变量获取
security_token = os.getenv("SecurityToken")
# server填写Bucket对应的Endpoint, 这里以中国-香港为例，其他地区请按实际情况填写。
server = "https://obs.ap-southeast-1.myhuaweicloud.com"
# 创建obsClient实例
# 如果使用临时AKSK和SecurityToken访问OBS，需要在创建实例时通过security_token参数指定securityToken值
obsClient = ObsClient(access_key_id=ak, secret_access_key=sk, server=server)
try:
    # ownerid为所有者的账号ID
    owner = Owner(owner_id='ownerid')
    # 设置单个用户（ID为userid）的权限为该对象读写权限
    grantee = Grantee(grantee_id='userid')
    grant0 = Grant(grantee=grantee, permission=Permission.READ)
    grant0 = Grant(grantee=grantee, permission=Permission.WRITE)
    # 设置acl
    acl = ACL(owner=owner, grants=[grant0])
    bucketName = "examplebucket"
    objectKey = "objectname"
    # 指定acl参数设置对象ACL
    resp = obsClient.setObjectAcl(bucketName, objectKey, acl)

    # 返回码为2xx时，接口调用成功，否则接口调用失败
    if resp.status < 300:
        print('Set Object Acl Succeeded')
        print('requestId:', resp.requestId)
    else:
        print('Set Object Acl Failed')
        print('requestId:', resp.requestId)
        print('errorCode:', resp.errorCode)
        print('errorMessage:', resp.errorMessage)
except:
    print('Set Object Acl Failed')
    print(traceback.format_exc())

        

      

    
   

指定aclControl参数设置对象ACL

本示例用于使用预定义访问策略设置对象ACL为私有读写。

    
     
       
       
         from obs import ObsClient
import os
from obs import HeadPermission
import traceback

# 推荐通过环境变量获取AKSK，这里也可以使用其他外部引入方式传入。如果使用硬编码可能会存在泄露风险
# 您可以登录访问管理控制台获取访问密钥AK/SK，获取方式请参见https://support.huaweicloud.com/intl/zh-cn/usermanual-ca/ca_01_0003.html。
ak = os.getenv("AccessKeyID")
sk = os.getenv("SecretAccessKey")
# 【可选】如果使用临时AKSK和SecurityToken访问OBS，则同样推荐通过环境变量获取
security_token = os.getenv("SecurityToken")
# server填写Bucket对应的Endpoint, 这里以中国-香港为例，其他地区请按实际情况填写。
server = "https://obs.ap-southeast-1.myhuaweicloud.com" 
# 创建obsClient实例
# 如果使用临时AKSK和SecurityToken访问OBS，需要在创建实例时通过security_token参数指定securityToken值
obsClient = ObsClient(access_key_id=ak, secret_access_key=sk, server=server)
try:
    # 使用预定义访问策略设置对象ACL为私有读写。推荐设置对象ACL为私有读写，提高安全性。
    aclControl = HeadPermission.PRIVATE
    bucketName = "examplebucket"
    objectKey = "objectname"
    # 指定acl参数设置对象ACL
    resp = obsClient.setObjectAcl(bucketName, objectKey, aclControl=aclControl)

    # 返回码为2xx时，接口调用成功，否则接口调用失败
    if resp.status < 300:
        print('Set Object Acl Succeeded')
        print('requestId:', resp.requestId)
    else:
        print('Set Object Acl Failed')
        print('requestId:', resp.requestId)
        print('errorCode:', resp.errorCode)
        print('errorMessage:', resp.errorMessage)
except:
    print('Set Object Acl Failed')
    print(traceback.format_exc())

        

      

    
   

设置对象ACL(Python SDK)