管理桶访问权限
开发过程中,您有任何问题可以在github上提交issue,或者在华为云对象存储服务论坛中发帖求助。
桶访问权限(ACL)可以通过三种方式设置:
- 创建桶时指定预定义访问策略。
- 调用set_bucket_acl_by_head指定预定义访问策略。
- 调用set_bucket_acl直接设置。
OBS支持的桶或对象权限包含五类,见下表:
权限 |
描述 |
OBS C SDK对应值 |
---|---|---|
读权限 |
如果有桶的读权限,则可以获取该桶内对象列表和桶的元数据。 如果有对象的读权限,则可以获取该对象内容和元数据。 |
obs_permission. OBS_PERMISSION_READ |
写权限 |
如果有桶的写权限,则可以上传、覆盖和删除该桶内任何对象。 此权限在对象上不适用。 |
obs_permission. OBS_PERMISSION_WRITE |
读ACP权限 |
如果有读ACP的权限,则可以获取对应的桶或对象的权限控制列表(ACL)。 桶或对象的所有者永远拥有读对应桶或对象ACP的权限。 |
obs_permission. OBS_PERMISSION_READ_ACP |
写ACP权限 |
如果有写ACP的权限,则可以更新对应桶或对象的权限控制列表(ACL)。 桶或对象的所有者永远拥有写对应桶或对象的ACP的权限。 拥有了写ACP的权限,由于可以更改权限控制策略,实际上意味着拥有了完全访问的权限。 |
obs_permission. OBS_PERMISSION_WRITE_ACP |
完全控制权限 |
如果有桶的完全控制权限意味着拥有READ、WRITE、READ_ACP和WRITE_ACP的权限。 如果有对象的完全控制权限意味着拥有READ、READ_ACP和WRITE_ACP的权限。 |
obs_permission. OBS_PERMISSION_FULL_CONTROL |
OBS预定义的访问策略包含五类,见下表:
权限 |
描述 |
OBS C SDK对应值 |
---|---|---|
私有读写 |
桶或对象的所有者拥有完全控制的权限,其他任何人都没有访问权限。 |
obs_canned_acl. OBS_CANNED_ACL_PRIVATE |
公共读私有写 |
设在桶上,所有人可以获取该桶内对象列表、桶内多段任务、桶的元数据、桶的多版本。 设在对象上,所有人可以获取该对象内容和元数据。 |
obs_canned_acl. OBS_CANNED_ACL_PUBLIC_READ |
公共读写 |
设在桶上,所有人可以获取该桶内对象列表、桶内多段任务、桶的元数据、上传对象删除对象、初始化段任务、上传段、合并段、拷贝段、取消多段上传任务。 设在对象上,所有人可以获取该对象内容和元数据。 |
obs_canned_acl. OBS_CANNED_ACL_PUBLIC_READ_WRITE |
桶公共读,桶内对象公共读 |
设在桶上,所有人可以获取该桶内对象列表、桶内多段任务、桶的元数据,可以获取该桶内对象的内容和元数据。 不能应用于对象。 |
obs_canned_acl. OBS_CANNED_ACL_PUBLIC_READ_DELIVERED |
桶公共读写,桶内对象公共读写 |
设在桶上,所有人可以获取该桶内对象列表、桶内多段任务、桶的元数据、上传对象、删除对象、初始化段任务、上传段、合并段、拷贝段、取消多段上传任务,可以获取该桶内对象的内容和元数据。 不能应用于对象。 |
obs_canned_acl. OBS_CANNED_ACL_PUBLIC_READ_WRITE_DELIVERED |
创桶时指定预定义访问策略
以下代码展示如何在创建桶时指定预定义访问策略:
static void test_create_bucket(obs_canned_acl canned_acl, char *bucket_name) { // 创建并初始化option obs_options option; obs_status ret_status = OBS_STATUS_BUTT; init_obs_options(&option); option.bucket_options.host_name = "<your-endpoint>"; option.bucket_options.bucket_name = "<Your bucketname>"; // 认证用的ak和sk硬编码到代码中或者明文存储都有很大的安全风险,建议在配置文件或者环境变量中密文存放,使用时解密,确保安全;本示例以ak和sk保存在环境变量中为例,运行本示例前请先在本地环境中设置环境变量ACCESS_KEY_ID和SECRET_ACCESS_KEY。 // 您可以登录访问管理控制台获取访问密钥AK/SK,获取方式请参见https://support.huaweicloud.com/usermanual-ca/ca_01_0003.html option.bucket_options.access_key = getenv("ACCESS_KEY_ID"); option.bucket_options.secret_access_key = getenv("SECRET_ACCESS_KEY"); // 设置响应回调函数 obs_response_handler response_handler = { 0, &response_complete_callback }; // 创建桶 canned_acl指定预定义访问策略 create_bucket(&option, canned_acl, NULL, &response_handler, &ret_status); if (ret_status == OBS_STATUS_OK) { printf("create bucket successfully. \n"); } else { printf("create bucket failed(%s).\n", obs_get_status_name(ret_status)); } }
为桶设置预定义访问策略
以下代码展示如何为桶设置预定义访问策略参数描述如下表:
字段名 |
类型 |
约束 |
说明 |
---|---|---|---|
option |
请求桶的上下文,配置option |
必选 |
桶参数。 |
canned_acl |
obs_canned_acl |
必选 |
|
handler |
obs_response_handler * |
必选 |
回调函数。 |
callback_data |
void * |
可选 |
回调数据。 |
示例代码如下:
void test_set_bucket_acl_byhead(char *bucket_name) { obs_status ret_status = OBS_STATUS_BUTT; // 创建并初始化option obs_options option; init_obs_options(&option); option.bucket_options.host_name = "<your-endpoint>"; option.bucket_options.bucket_name = "<Your bucketname>"; // 认证用的ak和sk硬编码到代码中或者明文存储都有很大的安全风险,建议在配置文件或者环境变量中密文存放,使用时解密,确保安全;本示例以ak和sk保存在环境变量中为例,运行本示例前请先在本地环境中设置环境变量ACCESS_KEY_ID和SECRET_ACCESS_KEY。 // 您可以登录访问管理控制台获取访问密钥AK/SK,获取方式请参见https://support.huaweicloud.com/usermanual-ca/ca_01_0003.html option.bucket_options.access_key = getenv("ACCESS_KEY_ID"); option.bucket_options.secret_access_key = getenv("SECRET_ACCESS_KEY"); // 设置响应回调函数 obs_response_handler response_handler = { 0, &response_complete_callback }; // 设置桶预定义访问策略 obs_canned_acl canned_acl = OBS_CANNED_ACL_PUBLIC_READ_WRITE; set_bucket_acl_by_head(&option, canned_acl, &response_handler, &ret_status); if (ret_status == OBS_STATUS_OK) { printf("set bucket acl by head successfully. \n"); } else { printf("set bucket acl by head failed(%s).\n", obs_get_status_name(ret_status)); } }
直接设置桶访问权限
以下代码展示如何直接设置桶访问权限参数描述如下表:
字段名 |
类型 |
约束 |
说明 |
---|---|---|---|
option |
请求桶的上下文,配置option |
必选 |
桶参数。 |
aclinfo |
manager_acl_info * |
必选 |
管理ACL权限信息相关结构体。 |
aclinfo->object_info |
obs_object_info * |
忽略 |
对象名和版本号,非多版本对象,version设置为0。 |
aclinfo->owner_id |
char * |
忽略 |
用户的DomainId。 |
aclinfo->acl_grant_count_return |
int * |
必选 |
指向返回aclinfo->acl_grants的个数的指针 |
aclinfo->acl_grants |
obs_acl_grant * |
必选 |
权限信息结构体指针,请查看下表,表2 权限信息结构体obs_acl_grant描述。 |
aclinfo->object_delivered |
obs_object_delivered |
可选 |
对象ACL是否继承桶的ACL,有效值OBJECT_DELIVERED_TRUE和OBJECT_DELIVERED_FALSE。默认OBJECT_DELIVERED_TRUE。 |
handler |
obs_response_handler * |
必选 |
回调函数。 |
callback_data |
void * |
可选 |
回调数据。 |
字段名 |
类型 |
说明 |
---|---|---|
grantee_type |
obs_grantee_type |
参看下表,表3 授权者类型描述。 |
grantee.canonical_user.id |
char |
CanonicalUser ID。 |
permission |
obs_permission |
参看5.5管理桶访问权限。 |
bucket_delivered |
obs_bucket_delivered |
桶的ACL是否向桶内对象传递,有效值BUCKET_DELIVERED_TRUE和BUCKET_DELIVERED_FALSE。默认BUCKET_DELIVERED_FALSE。 |
字段名 |
说明 |
---|---|
obs_grantee_type.OBS_GRANTEE_TYPE_CANONICAL_USER |
OBS用户,桶或对象的权限可以授予任何拥有OBS 账户的用户,被授权后对应的 OBS 用户可以使用AK和SK访问OBS。 |
obs_grantee_type.OBS_GRANTEE_TYPE_ALL_USERS |
所有人,所有人都可以访问对应的桶或对象,包括匿名用户。 |
示例代码如下:
void test_set_bucket_acl(char *bucket_name) { obs_status ret_status = OBS_STATUS_BUTT; // 创建并初始化option obs_options option; init_obs_options(&option); option.bucket_options.host_name = "<your-endpoint>"; option.bucket_options.bucket_name = "<Your bucketname>"; // 认证用的ak和sk硬编码到代码中或者明文存储都有很大的安全风险,建议在配置文件或者环境变量中密文存放,使用时解密,确保安全;本示例以ak和sk保存在环境变量中为例,运行本示例前请先在本地环境中设置环境变量ACCESS_KEY_ID和SECRET_ACCESS_KEY。 // 您可以登录访问管理控制台获取访问密钥AK/SK,获取方式请参见https://support.huaweicloud.com/usermanual-ca/ca_01_0003.html option.bucket_options.access_key = getenv("ACCESS_KEY_ID"); option.bucket_options.secret_access_key = getenv("SECRET_ACCESS_KEY"); // 设置响应回调函数 obs_response_handler response_handler = { 0, &response_complete_callback }; // 创建并初始化acl信息 manager_acl_info aclinfo; init_acl_info(&aclinfo); // 设置桶的访问权限 set_bucket_acl(&option, &aclinfo, &response_handler, &ret_status); if (OBS_STATUS_OK == ret_status) { printf("set bucket acl successfully. \n"); } else { printf("set bucket acl failed(%s).\n", obs_get_status_name(ret_status)); } // 释放内存 deinitialize_acl_info(&aclinfo); }
ACL中需要填写的所有者(Owner)或者被授权用户(Grantee)的ID,是指用户的账号ID,可通过OBS控制台“我的凭证”页面查看。
获取桶访问权限
您可以通过get_bucket_acl获取桶的访问权限。以下代码展示如何获取桶访问权限:
void test_get_bucket_acl(char *bucket_name) { obs_status ret_status = OBS_STATUS_BUTT; // 创建并初始化option obs_options option; init_obs_options(&option); option.bucket_options.host_name = "<your-endpoint>"; option.bucket_options.bucket_name = "<Your bucketname>"; // 认证用的ak和sk硬编码到代码中或者明文存储都有很大的安全风险,建议在配置文件或者环境变量中密文存放,使用时解密,确保安全;本示例以ak和sk保存在环境变量中为例,运行本示例前请先在本地环境中设置环境变量ACCESS_KEY_ID和SECRET_ACCESS_KEY。 // 您可以登录访问管理控制台获取访问密钥AK/SK,获取方式请参见https://support.huaweicloud.com/usermanual-ca/ca_01_0003.html option.bucket_options.access_key = getenv("ACCESS_KEY_ID"); option.bucket_options.secret_access_key = getenv("SECRET_ACCESS_KEY"); // 设置响应回调函数 obs_response_handler response_handler = { 0,&response_complete_callback }; // 申请acl结构内存 manager_acl_info *aclinfo = malloc_acl_info(); // 调用获取权限接口 get_bucket_acl(&option, aclinfo, &response_handler, &ret_status); if (OBS_STATUS_OK == ret_status) { printf("get bucket acl: -------------"); printf("%s\n", aclinfo->owner_id); if (aclinfo->acl_grant_count_return) { print_grant_info(*aclinfo->acl_grant_count_return, aclinfo->acl_grants); } } else { printf("get bucket acl failed(%s).\n", obs_get_status_name(ret_status)); } // 释放内存 free_acl_info(&aclinfo); }