更新时间:2024-11-19 GMT+08:00
分享

设置桶ACL(Harmony SDK)

功能说明

OBS支持对桶操作进行权限控制,您可以为桶设置访问策略,指定某一个用户对某一个桶是否有权行使某一项指定操作。OBS权限控制的方式有IAM、桶策略和ACL三种,ACL按照粒度又分为桶ACL和对象ACL,本节将对桶ACL接口进行详细介绍,更多权限相关内容可参见《对象存储服务权限配置指南》的OBS权限控制概述章节。

桶ACL是跨账号场景的权限,设置授权的对象不是当前账号,也不是当前账号下的IAM用户,而是另一个华为云账号及其账号下的IAM用户;授权的范围是以桶为粒度的,一条ACL策略为一个桶设置策略,因此设置ACL策略时您必须明确指定桶名;桶ACL授予的权限包括桶的访问权限和桶ACL的访问权限两个方面,桶的访问权限包括对桶及桶内对象的查看和编辑权限,桶ACL的访问权限包括对桶ACL策略的查看和编辑权限,详情可参见ACL权限控制方式介绍

调用设置桶ACL接口,您可以修改指定桶的ACL策略。

接口约束

  • 单个桶最多支持100条ACL策略。
  • 您必须是桶拥有者或拥有设置桶ACL的权限,才能设置桶ACL。建议使用IAM或桶策略进行授权,如果使用IAM则需授予obs:bucket:PutBucketAcl权限,如果使用桶策略则需授予PutBucketAcl权限。相关授权方式介绍可参见OBS权限控制概述,配置方式详见使用IAM自定义策略自定义创建桶策略
  • OBS支持的Region与Endpoint的对应关系,详细信息请参见地区与终端节点

方法定义

setBucketAcl(input: SetBucketAclInput): Response<BaseResponseOutput>

请求参数

表1 请求参数列表

参数名称

参数类型

是否必选

描述

input

SetBucketAclInput

必选

参数解释:

设置桶ACL接口入参,详见SetBucketAclInput

表2 SetBucketAclInput

参数名称

参数类型

是否必选

描述

Bucket

string

必选

参数解释

桶名。

约束限制:

  • 桶的名字需全局唯一,不能与已有的任何桶名称重复,包括其他用户创建的桶。
  • 桶命名规则如下:
    • 3~63个字符,数字或字母开头,支持小写字母、数字、“-”、“.”。
    • 禁止使用IP地址。
    • 禁止以“-”或“.”开头及结尾。
    • 禁止两个“.”相邻(如:“my..bucket”)。
    • 禁止“.”和“-”相邻(如:“my-.bucket”和“my.-bucket”)。
  • 同一用户在同一个区域多次创建同名桶不会报错,创建的桶属性以第一次请求为准。

默认取值:

ACL

AclType

可选

参数解释:

预定义访问策略。

取值范围:

AclType取值详见AclType

默认取值:

Owner

Owner

可选

参数解释:

桶的所有者账号户ID,详见Owner

约束限制:

Owner和Grants必须配套使用,且与ACL互斥。

Grants

Grant[]

可选

参数解释:

被授权用户权限信息,详见Grant

表3 AclType

常量名

原始值

说明

PRIVATE

private

私有读写。

桶或对象的所有者拥有完全控制的权限,其他任何人都没有访问权限。

PUBLIC_READ

public-read

公共读私有写。

设在桶上,所有人可以获取该桶内对象列表、桶内多段任务、桶的元数据、桶的多版本。

设在对象上,所有人可以获取该对象内容和元数据。

PUBLIC_READ_WRITE

public-read-write

公共读写。

设在桶上,所有人可以获取该桶内对象列表、桶内多段任务、桶的元数据、桶的多版本、上传对象、删除对象、初始化段任务、上传段、合并段、复制段、取消多段上传任务。

设在对象上,所有人可以获取该对象内容和元数据。

PUBLIC_READ_DELIVERED

public-read-delivered

桶公共读,桶内对象公共读。

设在桶上,所有人可以获取该桶内对象列表、桶内多段任务、桶的元数据、桶的多版本,可以获取该桶内对象的内容和元数据。

说明:

AclPublicReadDelivered不能应用于对象。

PUBLIC_READ_WRITE_DELIVERED

public-read-write-delivered

桶公共读写,桶内对象公共读写。

设在桶上,所有人可以获取该桶内对象列表、桶内多段任务、桶的元数据、桶的多版本、上传对象、删除对象、初始化段任务、上传段、合并段、复制段、取消多段上传任务,可以获取该桶内对象的内容和元数据。

说明:

AclPublicReadWriteDelivered不能应用于对象。

BUCKET_OWNER_FULL_CONTROL

bucket-owner-full-control

设在对象上,桶和对象的所有者拥有对象的完全控制权限,其他任何人都没有访问权限。

默认情况下,上传对象至其他用户的桶中,桶拥有者没有对象的控制权限。对象拥有者为桶拥有者添加此权限控制策略后,桶所有者可以完全控制对象。例如,用户A上传对象x至用户B的桶中,系统默认用户B没有对象x的控制权。当用户A为对象x设置bucket-owner-full-control策略后,用户B就拥有了对象x的控制权。

表4 Owner

参数名称

参数类型

是否必选

描述

ID

string

作为请求参数时必选

参数解释:

所有者的账号ID,即domain_id。

取值范围:

如何获取账号ID请参见如何获取账号ID和用户ID?(Harmony SDK)

默认取值:

DisplayName

string

可选

参数解释:

所有者的账号用户名。

默认取值:

表5 Grant

参数名称

参数类型

是否必选

描述

Grantee

Grantee

作为请求参数时必选

参数解释:

被授权用户相关信息,详见Grantee

Permission

PermissionType

作为请求参数时必选

参数解释:

被授予的权限。

取值范围:

权限取值范围:详见PermissionType

默认取值:

表6 Grantee

参数名称

参数类型

是否必选

描述

Type

GranteeType

作为请求参数时必选

参数解释:

被授权用户的类型。

取值范围:

被授权用户类型的取值范围:详见GranteeType

默认取值:

ID

string

作为请求参数时,如果Type为用户类型则必选。

参数解释:

被授权用户的账号ID,即domain_id。

取值范围:

如何获取账号ID请参见如何获取账号ID和用户ID?(Harmony SDK)

默认取值:

Name

string

作为请求参数时可选

参数解释:

被授权用户的账号名。

约束限制:

  • 不支持中文。
  • 只能以字母开头。
  • 长度为6-32个字符。
  • 只能包含英文字母、数字或特殊字符(-_)。

默认取值:

URI

GroupUriType

作为请求参数时,如果Type为用户组类型则必选。

参数解释:

被授权的用户组。

取值范围:

授权用户组取值范围:详见GroupUriType

默认取值:

表7 GranteeType

常量名

原始值

说明

GROUP

Group

授权给用户组。

CANONICAL_USER

CanonicalUser

授权给单个用户。

表8 GroupUriType

常量名

原始值

说明

ALL_USERS

AllUsers

所有用户。

AUTHENTICATED_USERS

AuthenticatedUsers

授权用户,已废弃。

LOG_DELIVERY

LogDelivery

日志投递组,已废弃。

表9 PermissionType

常量名

原始值

说明

READ

READ

如果有桶的读权限,则可以获取该桶内对象列表、桶内多段任务、桶的元数据、桶的多版本。

如果有对象的读权限,则可以获取该对象内容和元数据。

WRITE

WRITE

如果有桶的写权限,则可以上传、覆盖和删除该桶内任何对象和段。

此权限在对象上不适用。

READ_ACP

READ_ACP

如果有读ACP的权限,则可以获取对应的桶或对象的权限控制列表(ACL)。

桶或对象的所有者永远拥有读对应桶或对象ACP的权限。

WRITE_ACP

WRITE_ACP

如果有写ACP的权限,则可以更新对应桶或对象的权限控制列表(ACL)。

桶或对象的所有者永远拥有写对应桶或对象的ACP的权限。

拥有了写ACP的权限,由于可以更改权限控制策略,实际上意味着拥有了完全访问的权限。

FULL_CONTROL

FULL_CONTROL

如果有桶的完全控制权限意味着拥有PermissionRead、PermissionWrite、PermissionReadAcp和PermissionWriteAcp的权限。

如果有对象的完全控制权限意味着拥有PermissionRead、PermissionReadAcp和PermissionWriteAcp的权限。

  • Owner和Grants必须配套使用,且与ACL互斥。当设置了这两个字段时,不能设置ACL;反之,当设置了ACL时,不能设置Owner和Grants。
  • Owner、Grants与ACL不能全为空。

返回结果

表10 返回结果

参数类型

描述

Response

说明:

该接口返回是一个Promise类型,需要使用Promise、async/await语法处理。

参数解释:

接口返回信息,详见Response

表11 Response

参数名称

参数类型

描述

CommonMsg

ICommonMsg

参数解释:

接口调用完成后的公共信息,包含HTTP状态码,操作失败的错误码等,详见ICommonMsg

InterfaceResult

BaseResponseOutput

参数解释:

操作成功后的结果数据,详见BaseResponseOutput

约束限制:

当Status大于300时为空。

表12 ICommonMsg

参数名称

参数类型

描述

Status

number

参数解释:

OBS服务端返回的HTTP状态码。

取值范围:

状态码是一组从2xx(成功)到4xx或5xx(错误)的数字代码,状态码表示了请求响应的状态。完整的状态码列表请参见状态码

Code

string

参数解释:

OBS服务端返回的错误码。

Message

string

参数解释:

OBS服务端返回的错误描述。

HostId

string

参数解释:

OBS服务端返回的请求服务端ID。

RequestId

string

参数解释:

OBS服务端返回的请求ID。

Id2

string

参数解释:

OBS服务端返回的请求ID2。

Indicator

string

参数解释:

OBS服务端返回的详细错误码。

表13 BaseResponseOutput

参数名称

参数类型

描述

RequestId

string

参数解释:

OBS服务端返回的请求ID。

代码示例

本示例用于设置名为examplebucket桶的ACL权限控制为私有权限。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
// 引入依赖包
import ObsClient, { AclType, SetBucketAclInput } from '@obs/esdk-obs-harmony';

// 创建ObsClient实例
const obsClient = new ObsClient({
  // 推荐通过环境变量获取AKSK,这里也可以使用其他外部引入方式传入,如果使用硬编码可能会存在泄露风险
  // 您可以登录访问管理控制台获取访问密钥AK/SK,获取方式请参见https://support.huaweicloud.com/usermanual-ca/ca_01_0003.html
  AccessKeyId: process.env.ACCESS_KEY_ID,
  SecretAccessKey: process.env.SECRET_ACCESS_KEY,
  // 【可选】如果使用临时AK/SK和SecurityToken访问OBS,同样建议您尽量避免使用硬编码,以降低信息泄露风险。您可以通过环境变量获取访问密钥AK/SK,也可以使用其他外部引入方式传入
  // SecurityToken: process.env.SECURITY_TOKEN,
  // Server填写Bucket对应的Endpoint, 这里以华北-北京四为例,其他地区请按实际情况填写
  Server: "https://obs.cn-north-4.myhuaweicloud.com",
});

async function setBucketAcl() {
  try {
    const params: SetBucketAclInput = {
      // 指定存储桶名称
      Bucket: "examplebucket",
      // 指定桶的Acl,此处以私有权限为例
      ACL: AclType.PRIVATE
    };
    // 设置桶ACL
    const result = await obsClient.setBucketAcl(params);
    if (result.CommonMsg.Status <= 300) {
      console.log("Set bucket(%s)'s acl successful!", params.Bucket);
      console.log("RequestId: %s", result.CommonMsg.RequestId);
      return;
    }

    console.log("An ObsError was found, which means your request sent to OBS was rejected with an error response.");
    console.log("Status: %d", result.CommonMsg.Status);
    console.log("Code: %s", result.CommonMsg.Code);
    console.log("Message: %s", result.CommonMsg.Message);
    console.log("RequestId: %s", result.CommonMsg.RequestId);
  } catch (error) {
    console.log("An Exception was found, which means the client encountered an internal problem when attempting to communicate with OBS, for example, the client was unable to access the network.");
    console.log(error);
  }
}

setBucketAcl();

相关链接

相关文档