设置桶策略(C SDK)
开发过程中,您有任何问题可以在GitHub上提交issue,或者在华为云对象存储服务论坛中发帖求助。
功能介绍
桶策略是作用于桶及桶内对象的访问控制策略,通过向桶添加桶策略,可以授权其他账号对桶及桶内资源进行指定的操作。桶策略与ACL相比,支持更精细的权限控制,不仅可以控制授权账号,还可以控制匿名用户对桶和对象的访问权限,同时支持指定资源、条件和动作。
调用设置桶策略接口,您可以为指定桶设置桶策略。
接口约束
- 您必须是桶拥有者或拥有设置桶策略的权限,才能调用本接口。建议使用IAM或桶策略进行授权,如果使用IAM则需授予obs:bucket:PutBucketPolicy权限,如果使用桶策略则需授予PutBucketPolicy权限。相关授权方式介绍可参见OBS权限控制概述,配置方式详见使用IAM自定义策略、自定义创建桶策略。
- OBS支持的Region与Endpoint的对应关系,详细信息请参见地区与终端节点。
- 如果桶已经存在一个策略,那么当前请求中的策略将完全覆盖桶中现存的策略。
- 单个桶的桶策略条数(statement)没有限制,但一个桶中所有桶策略的JSON描述总大小不能超过20KB。
方法定义
void set_bucket_policy(const obs_options *options, const char *policy,
obs_response_handler *handler, void *callback_data); 请求参数说明
| 参数名称 | 参数类型 | 是否必选 | 描述 |
|---|---|---|---|
| options | const obs_options* | 必选 | 参数解释: 请求桶的上下文,通过obs_options设置AK、SK、endpoint、bucket、超时时间、临时鉴权。 约束限制: 无 取值范围: 无 默认取值: 无 |
| policy | const char * | 必选 | 参数解释: 桶策略内容,为JSON格式的字符串。 约束限制: 策略内容长度不能超过20KB;策略语法必须符合OBS桶策略语法规范,否则会返回OBS_STATUS_MalformedPolicy错误。 取值范围: 符合OBS桶策略语法的JSON字符串,最大长度20KB。 默认取值: 无 |
| handler | 必选 | 参数解释: 回调结构体,结构体内所有成员都是回调函数的指针,用于设置处理接口响应数据的回调函数。您可以通过设置回调函数,把服务端的响应数据复制到您的自定义回调数据callback_data中。 约束限制: 无 取值范围: 无 默认取值: 无 | |
| callback_data | void * | 可选 | 参数解释: 用户自定义回调数据。 约束限制: 无 取值范围: 无 默认取值: 无 |
代码示例
以下示例展示如何为桶设置策略,允许指定账号对桶内对象进行读取:
#include "eSDKOBS.h"
#include <stdio.h>
// 响应回调函数
obs_status response_properties_callback(const obs_response_properties *properties, void *callback_data);
void response_complete_callback(obs_status status, const obs_error_details *error, void *callback_data);
int main()
{
// 在程序入口调用obs_initialize方法来初始化网络、内存等全局资源。
obs_status ret_status = obs_initialize(OBS_INIT_ALL);
if (OBS_STATUS_OK != ret_status)
{
printf("obs_initialize failed(%s).\n", obs_get_status_name(ret_status));
return -1;
}
obs_options options;
// 创建并初始化options,该参数包括访问域名(host_name)、访问密钥(access_key和secret_access_key)、桶名(bucket_name)等配置信息
init_obs_options(&options);
// host_name填写桶所在的endpoint,此处以华北-北京四为例,其他地区请按实际情况填写。
options.bucket_options.host_name = "obs.cn-north-4.myhuaweicloud.com";
// 认证用的ak和sk硬编码到代码中或者明文存储都有很大的安全风险,建议在配置文件或者环境变量中密文存放,使用时解密,确保安全;
// 本示例以ak和sk保存在环境变量中为例,运行本示例前请先在本地环境中设置环境变量ACCESS_KEY_ID和SECRET_ACCESS_KEY。
options.bucket_options.access_key = getenv("ACCESS_KEY_ID");
options.bucket_options.secret_access_key = getenv("SECRET_ACCESS_KEY");
if (!options.bucket_options.access_key || !options.bucket_options.secret_access_key) {
printf("ERROR: ACCESS_KEY_ID and SECRET_ACCESS_KEY environment variables must be set.\n");
obs_deinitialize();
return -1;
}
// 填写Bucket名称,例如example-bucket-name。
options.bucket_options.bucket_name = "example-bucket-name";
// 设置桶策略内容,此处以允许指定账号读取桶内对象为例
// 请将domain_id替换为实际的账号ID,获取方式请参见如何获取账号ID和用户ID
const char *domain_id = "0a******************************0a";
const char *bucket_name = "example-bucket-name";
char bucket_policy[4096] = {0};
snprintf_s(bucket_policy, sizeof(bucket_policy), _TRUNCATE,
"{"
"\"Statement\":[{"
"\"Sid\":\"AllowAccountRead\","
"\"Effect\":\"Allow\","
"\"Resource\":\"%s/*\","
"\"Principal\":{\"ID\":[\"%s\"]},"
"\"Action\":[\"GetObject\"]"
"}]"
"}",
bucket_name, domain_id);
// 设置响应回调函数
obs_response_handler response_handler =
{
&response_properties_callback,
&response_complete_callback
};
ret_status = OBS_STATUS_BUTT;
set_bucket_policy(&options, bucket_policy, &response_handler, &ret_status);
if (OBS_STATUS_OK == ret_status) {
printf("set bucket policy successfully.\n");
} else {
printf("set bucket policy failed(%s).\n", obs_get_status_name(ret_status));
}
// 释放分配的全局资源
obs_deinitialize();
}
obs_status response_properties_callback(const obs_response_properties *properties, void *callback_data)
{
(void)properties; (void)callback_data;
return OBS_STATUS_OK;
}
void response_complete_callback(obs_status status, const obs_error_details *error, void *callback_data)
{
if (callback_data) { *(obs_status*)callback_data = status; }
if (error && error->message) { printf("Error: %s\n", error->message); }
}