设置桶ACL(Java SDK)
功能说明
访问控制列表(Access Control List,ACL)用于资源拥有者给其他账号授予资源的访问权限。默认情况下,创建存储桶或对象时仅资源拥有者对资源的完全控制权限,即桶创建者对桶拥有完全控制权限,对象上传者对对象拥有完全控制权限,而其他账号默认无权访问资源。如果资源拥有者想授予其他账号资源的读写权限,可以使用ACL实现。OBS桶和对象的ACL是基于账号进行授权,授权后对账号和账号下的IAM用户都生效。
了解更多可参见ACL权限控制方式介绍。
须知:
开发过程中,您有任何问题可以在github上提交issue,或者在华为云对象存储服务论坛中发帖求助。
桶ACL可以通过三种方式设置, 具体参见方法定义。
接口约束
- 单个桶最多支持100条ACL。
- 您必须是桶拥有者或拥有设置桶ACL的权限,才能设置桶ACL。建议使用IAM或桶策略进行授权,如果使用IAM则需授予obs:bucket:PutBucketAcl权限,如果使用桶策略则需授予PutBucketAcl权限。相关授权方式介绍可参见OBS权限控制概述,配置方式详见使用IAM自定义策略、自定义创建桶策略。
- OBS支持的region以及region与endPoint的对应关系,详细信息请参见地区与终端节点。
方法定义
- 方法1:创建桶时,设置预定义ACL:
obsBucket.setBucketName(exampleBucket); // 设置桶ACL为私有读写 obsBucket.setAcl(AccessControlList.REST_CANNED_PRIVATE); // 创建桶 obsClient.createBucket(obsBucket); - 方法2:创桶完成后,设置预定义ACL:
// 设置桶ACL为私有读写 obsClient.setBucketAcl(String exampleBucket, AccessControlList.REST_CANNED_PRIVATE);
- 方法3:创桶完成后,设置自定义ACL:
// 为桶设置自定义ACL obsClient.setBucketAcl(String bucketName,AccessControlList acl);
请求参数说明
|
参数名称 |
参数类型 |
是否必选 |
描述 |
|---|---|---|---|
|
bucketName |
String |
必选 |
参数解释: 桶名。 约束限制:
默认取值: 无 |
|
acl |
必选 |
参数解释: 创桶时可指定桶的ACL,您可以使用预定义的ACL,也可以自定义ACL,有关访问控制列表(Access Control List,ACL)功能的详细信息可参见ACL功能介绍。 取值范围:
默认取值: AccessControlList.REST_CANNED_PRIVATE |
|
参数名称 |
参数类型 |
是否必选 |
参数类型 |
|---|---|---|---|
|
owner |
必选 |
参数解释: 桶所有者的信息,详见Owner。 |
|
|
delivered |
boolean |
可选 |
参数解释: 桶的ACL是否向桶内对象传递,作用于桶内所有对象。 取值范围: true:是,桶ACL向桶内对象传递。 false:否,桶ACL不向桶内对象传递,仅作用于桶。 默认取值: false |
|
grants |
Set<GrantAndPermission> |
可选 |
参数解释: 被授权用户相关信息,详见GrantAndPermission。 |
|
常量名 |
描述 |
|---|---|
|
AccessControlList.REST_CANNED_PRIVATE |
私有读写。 桶或对象的所有者拥有完全控制的权限,其他任何人都没有访问权限。 |
|
AccessControlList.REST_CANNED_PUBLIC_READ |
公共读。 设在桶上,所有人可以获取该桶内对象列表、桶内多段任务、桶的元数据、桶的多版本。 设在对象上,所有人可以获取该对象内容和元数据。 |
|
AccessControlList.REST_CANNED_PUBLIC_READ_WRITE |
公共读写。 设在桶上,所有人可以获取该桶内对象列表、桶内多段任务、桶的元数据、上传对象删除对象、初始化段任务、上传段、合并段、拷贝段、取消多段上传任务。 设在对象上,所有人可以获取该对象内容和元数据。 |
|
AccessControlList.REST_CANNED_PUBLIC_READ_DELIVERED |
桶公共读,桶内对象公共读。 设在桶上,所有人可以获取该桶内对象列表、桶内多段任务、桶的元数据,可以获取该桶内对象的内容和元数据。 不能应用于对象。 |
|
AccessControlList.REST_CANNED_PUBLIC_READ_WRITE_DELIVERED |
桶公共读写,桶内对象公共读写。 设在桶上,所有人可以获取该桶内对象列表、桶内多段任务、桶的元数据、上传对象、删除对象、初始化段任务、上传段、合并段、拷贝段、取消多段上传任务,可以获取该桶内对象的内容和元数据。 不能应用于对象。 |
|
参数名称 |
参数类型 |
是否必选 |
描述 |
|---|---|---|---|
|
id |
String |
必选 |
参数解释: 桶所有者的账号ID,即domain_id。 取值范围: 如何获取账号ID请参见如何获取账号ID和用户ID?。 默认取值: 无 |
|
displayName |
String |
可选 |
参数解释: 所有者的账号名。 取值范围: 如何获取账号名请参见如何获取账号名?。 默认取值: 无 |
|
参数名称 |
参数类型 |
是否必选 |
描述 |
|---|---|---|---|
|
grantee |
必选 |
参数解释: 被授权用户或用户组,详见GranteeInterface。 |
|
|
permission |
必选 |
参数解释: 用户或用户组被授予的权限。 取值范围: 详见Permission。 默认取值: 无 |
|
|
delivered |
boolean |
可选 |
参数解释: 桶的ACL是否向桶内对象传递,作用于桶内所有对象。 取值范围: true:是,桶ACL向桶内对象传递。 false:否,桶ACL不向桶内对象传递,仅作用于桶。 默认取值: false |
|
参数名称 |
参数类型 |
是否必选 |
描述 |
|---|---|---|---|
|
必选 |
参数解释: 被授权用户的用户信息,详见CanonicalGrantee。 |
||
|
必选 |
参数解释: 被授权用户组的用户组信息。 取值范围: 详见GroupGrantee。 默认取值: 无 |
|
参数名称 |
参数类型 |
是否必选 |
描述 |
|---|---|---|---|
|
grantId |
String |
如果Type为用户类型则必选 |
参数解释: 被授权用户的账号ID,即domain_id。 取值范围: 如何获取账号ID请参见如何获取账号ID和用户ID?。 默认取值: 无 |
|
displayName |
String |
可选 |
参数描述: 被授权用户的账号名。 取值范围: 如何获取账号名请参见如何获取账号名?。 默认取值: 无 |
|
常量名 |
原始值 |
说明 |
|---|---|---|
|
PERMISSION_READ |
READ |
读权限。 如果有桶的读权限,则可以获取该桶内对象列表、桶内多段任务、桶的元数据、桶的多版本。 如果有对象的读权限,则可以获取该对象内容和元数据。 |
|
PERMISSION_WRITE |
WRITE |
写权限。 如果有桶的写权限,则可以上传、覆盖和删除该桶内任何对象和段。 此权限在对象上不适用。 |
|
PERMISSION_READ_ACP |
READ_ACP |
读取ACL配置的权限。 如果有读ACP的权限,则可以获取对应的桶或对象的权限控制列表(ACL)。 桶或对象的所有者永远拥有读对应桶或对象ACP的权限。 |
|
PERMISSION_WRITE_ACP |
WRITE_ACP |
修改ACL配置的权限。 如果有写ACP的权限,则可以更新对应桶或对象的权限控制列表(ACL)。 桶或对象的所有者永远拥有写对应桶或对象的ACP的权限。 拥有了写ACP的权限,由于可以更改权限控制策略,实际上意味着拥有了完全访问的权限。 |
|
PERMISSION_FULL_CONTROL |
FULL_CONTROL |
完全控制权限,包括对桶或对象的读写权限,以及对桶或对象ACL配置的读写权限。 如果有桶的完全控制权限意味着拥有READ、WRITE、READ_ACP和WRITE_ACP的权限。 如果有对象的完全控制权限意味着拥有READ、READ_ACP和WRITE_ACP的权限。 |
返回结果说明
|
参数名称 |
参数类型 |
描述 |
|---|---|---|
|
statusCode |
int |
参数解释: HTTP状态码。 取值范围: 状态码是一组从2xx(成功)到4xx或5xx(错误)的数字代码,状态码表示了请求响应的状态。 完整的状态码列表请参见状态码。 默认取值: 无 |
|
responseHeaders |
Map<String, Object> |
参数解释: HTTP响应消息头列表,由多个元组构成。元组中String代表响应消息头的名称,Object代表响应消息头的值。 默认取值: 无 |
代码示例:创建桶时指定预定义ACL
本示例用于创建exampleBucket桶时指定预定义ACL。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 |
import com.obs.services.ObsClient;
import com.obs.services.exception.ObsException;
import com.obs.services.model.AccessControlList;
import com.obs.services.model.ObsBucket;
public class SetBucketAcl001 {
public static void main(String[] args) {
// 您可以通过环境变量获取访问密钥AK/SK,也可以使用其他外部引入方式传入。如果使用硬编码可能会存在泄露风险。
// 您可以登录访问管理控制台获取访问密钥AK/SK
String ak = System.getenv("ACCESS_KEY_ID");
String sk = System.getenv("SECRET_ACCESS_KEY_ID");
// 【可选】如果使用临时AK/SK和SecurityToken访问OBS,同样建议您尽量避免使用硬编码,以降低信息泄露风险。
// 您可以通过环境变量获取访问密钥AK/SK/SecurityToken,也可以使用其他外部引入方式传入。
// String securityToken = System.getenv("SECURITY_TOKEN");
// endpoint填写桶所在的endpoint, 此处以华北-北京四为例,其他地区请按实际情况填写。
String endPoint = "https://obs.cn-north-4.myhuaweicloud.com";
// 您可以通过环境变量获取endPoint,也可以使用其他外部引入方式传入。
//String endPoint = System.getenv("ENDPOINT");
// 创建ObsClient实例
// 使用永久AK/SK初始化客户端
ObsClient obsClient = new ObsClient(ak, sk,endPoint);
// 使用临时AK/SK和SecurityToken初始化客户端
// ObsClient obsClient = new ObsClient(ak, sk, securityToken, endPoint);
try {
ObsBucket obsBucket = new ObsBucket();
//示例桶名
String exampleBucket = "examplebucket";
obsBucket.setBucketName(exampleBucket);
// 设置桶ACL为私有读写
obsBucket.setAcl(AccessControlList.REST_CANNED_PRIVATE);
// 创建桶
obsClient.createBucket(obsBucket);
System.out.println("SetBucketAcl successfully");
} catch (ObsException e) {
System.out.println("SetBucketAcl failed");
// 请求失败,打印http状态码
System.out.println("HTTP Code:" + e.getResponseCode());
// 请求失败,打印服务端错误码
System.out.println("Error Code:" + e.getErrorCode());
// 请求失败,打印详细错误信息
System.out.println("Error Message:" + e.getErrorMessage());
// 请求失败,打印请求id
System.out.println("Request ID:" + e.getErrorRequestId());
System.out.println("Host ID:" + e.getErrorHostId());
e.printStackTrace();
} catch (Exception e) {
System.out.println("SetBucketAcl failed");
// 其他异常信息打印
e.printStackTrace();
}
}
}
|
代码示例:创桶后为桶设置预定义ACL
本示例用于为exampleBucket桶设置预定义ACL。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 |
import com.obs.services.ObsClient;
import com.obs.services.exception.ObsException;
import com.obs.services.model.AccessControlList;
public class SetBucketAcl002 {
public static void main(String[] args) {
// 您可以通过环境变量获取访问密钥AK/SK,也可以使用其他外部引入方式传入。如果使用硬编码可能会存在泄露风险。
// 您可以登录访问管理控制台获取访问密钥AK/SK
String ak = System.getenv("ACCESS_KEY_ID");
String sk = System.getenv("SECRET_ACCESS_KEY_ID");
// 【可选】如果使用临时AK/SK和SecurityToken访问OBS,同样建议您尽量避免使用硬编码,以降低信息泄露风险。
// 您可以通过环境变量获取访问密钥AK/SK/SecurityToken,也可以使用其他外部引入方式传入。
// String securityToken = System.getenv("SECURITY_TOKEN");
// endpoint填写桶所在的endpoint, 此处以华北-北京四为例,其他地区请按实际情况填写。
String endPoint = "https://obs.cn-north-4.myhuaweicloud.com";
// 您可以通过环境变量获取endPoint,也可以使用其他外部引入方式传入。
//String endPoint = System.getenv("ENDPOINT");
// 创建ObsClient实例
// 使用永久AK/SK初始化客户端
ObsClient obsClient = new ObsClient(ak, sk,endPoint);
// 使用临时AK/SK和SecurityToken初始化客户端
// ObsClient obsClient = new ObsClient(ak, sk, securityToken, endPoint);
try {
//示例桶名
String exampleBucket = "examplebucket";
// 设置桶ACL为私有读写
obsClient.setBucketAcl(exampleBucket, AccessControlList.REST_CANNED_PRIVATE);
System.out.println("SetBucketAcl successfully");
} catch (ObsException e) {
System.out.println("SetBucketAcl failed");
// 请求失败,打印http状态码
System.out.println("HTTP Code:" + e.getResponseCode());
// 请求失败,打印服务端错误码
System.out.println("Error Code:" + e.getErrorCode());
// 请求失败,打印详细错误信息
System.out.println("Error Message:" + e.getErrorMessage());
// 请求失败,打印请求id
System.out.println("Request ID:" + e.getErrorRequestId());
System.out.println("Host ID:" + e.getErrorHostId());
e.printStackTrace();
} catch (Exception e) {
System.out.println("SetBucketAcl failed");
// 其他异常信息打印
e.printStackTrace();
}
}
}
|
代码示例:创桶后为桶设置自定义ACL
本示例用于自定义设置exampleBucket桶的桶ACL。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 |
import com.obs.services.ObsClient;
import com.obs.services.exception.ObsException;
import com.obs.services.model.AccessControlList;
import com.obs.services.model.CanonicalGrantee;
import com.obs.services.model.GroupGrantee;
import com.obs.services.model.Owner;
import com.obs.services.model.Permission;
public class SetBucketAcl003 {
public static void main(String[] args) {
// 您可以通过环境变量获取访问密钥AK/SK,也可以使用其他外部引入方式传入。如果使用硬编码可能会存在泄露风险。
// 您可以登录访问管理控制台获取访问密钥AK/SK
String ak = System.getenv("ACCESS_KEY_ID");
String sk = System.getenv("SECRET_ACCESS_KEY_ID");
// 【可选】如果使用临时AK/SK和SecurityToken访问OBS,同样建议您尽量避免使用硬编码,以降低信息泄露风险。
// 您可以通过环境变量获取访问密钥AK/SK/SecurityToken,也可以使用其他外部引入方式传入。
// String securityToken = System.getenv("SECURITY_TOKEN");
// endpoint填写桶所在的endpoint, 此处以华北-北京四为例,其他地区请按实际情况填写。
String endPoint = "https://obs.cn-north-4.myhuaweicloud.com";
// 您可以通过环境变量获取endPoint,也可以使用其他外部引入方式传入。
//String endPoint = System.getenv("ENDPOINT");
// 创建ObsClient实例
// 使用永久AK/SK初始化客户端
ObsClient obsClient = new ObsClient(ak, sk,endPoint);
// 使用临时AK/SK和SecurityToken初始化客户端
// ObsClient obsClient = new ObsClient(ak, sk, securityToken, endPoint);
try {
//示例桶名
String exampleBucket = "examplebucket";
//示例userid
String exampleUserid = "userid";
//示例userid
String exampleOwnerId = "ownerid";
AccessControlList acl = new AccessControlList();
Owner owner = new Owner();
owner.setId(exampleOwnerId);
acl.setOwner(owner);
// 为指定用户设置完全控制权限
acl.grantPermission(new CanonicalGrantee(exampleUserid), Permission.PERMISSION_FULL_CONTROL);
// 为所有用户设置读权限
acl.grantPermission(GroupGrantee.ALL_USERS, Permission.PERMISSION_READ);
// 直接设置桶ACL
obsClient.setBucketAcl(exampleBucket, acl);
System.out.println("SetBucketAcl successfully");
} catch (ObsException e) {
System.out.println("SetBucketAcl failed");
// 请求失败,打印http状态码
System.out.println("HTTP Code:" + e.getResponseCode());
// 请求失败,打印服务端错误码
System.out.println("Error Code:" + e.getErrorCode());
// 请求失败,打印详细错误信息
System.out.println("Error Message:" + e.getErrorMessage());
// 请求失败,打印请求id
System.out.println("Request ID:" + e.getErrorRequestId());
System.out.println("Host ID:" + e.getErrorHostId());
e.printStackTrace();
} catch (Exception e) {
System.out.println("SetBucketAcl failed");
// 其他异常信息打印
e.printStackTrace();
}
}
}
|
本示例用于直接设置exampleBucket桶的桶ACL,且桶ACL向桶内对象传递。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 |
import com.obs.services.ObsClient;
import com.obs.services.exception.ObsException;
import com.obs.services.model.AccessControlList;
import com.obs.services.model.CanonicalGrantee;
import com.obs.services.model.GroupGrantee;
import com.obs.services.model.Owner;
import com.obs.services.model.Permission;
public class SetBucketAcl004 {
public static void main(String[] args) {
// 您可以通过环境变量获取访问密钥AK/SK,也可以使用其他外部引入方式传入。如果使用硬编码可能会存在泄露风险。
// 您可以登录访问管理控制台获取访问密钥AK/SK
String ak = System.getenv("ACCESS_KEY_ID");
String sk = System.getenv("SECRET_ACCESS_KEY_ID");
// 【可选】如果使用临时AK/SK和SecurityToken访问OBS,同样建议您尽量避免使用硬编码,以降低信息泄露风险。
// 您可以通过环境变量获取访问密钥AK/SK/SecurityToken,也可以使用其他外部引入方式传入。
// String securityToken = System.getenv("SECURITY_TOKEN");
// endpoint填写桶所在的endpoint, 此处以华北-北京四为例,其他地区请按实际情况填写。
String endPoint = "https://obs.cn-north-4.myhuaweicloud.com";
// 您可以通过环境变量获取endPoint,也可以使用其他外部引入方式传入。
//String endPoint = System.getenv("ENDPOINT");
// 创建ObsClient实例
// 使用永久AK/SK初始化客户端
ObsClient obsClient = new ObsClient(ak, sk,endPoint);
// 使用临时AK/SK和SecurityToken初始化客户端
// ObsClient obsClient = new ObsClient(ak, sk, securityToken, endPoint);
try {
//示例桶名
String exampleBucket = "examplebucket";
//示例userid
String exampleUserid = "userid";
//示例userid
String exampleOwnerId = "ownerid";
AccessControlList acl = new AccessControlList();
Owner owner = new Owner();
owner.setId(exampleOwnerId);
acl.setOwner(owner);
// 为指定用户设置完全控制权限,且桶ACL向桶内对象传递
acl.grantPermission(new CanonicalGrantee(exampleUserid), Permission.PERMISSION_FULL_CONTROL,true);
// 为所有用户设置读权限,且桶ACL向桶内对象传递
acl.grantPermission(GroupGrantee.ALL_USERS, Permission.PERMISSION_READ,true);
// 直接设置桶ACL
obsClient.setBucketAcl(exampleBucket, acl);
System.out.println("SetBucketAcl successfully");
} catch (ObsException e) {
System.out.println("SetBucketAcl failed");
// 请求失败,打印http状态码
System.out.println("HTTP Code:" + e.getResponseCode());
// 请求失败,打印服务端错误码
System.out.println("Error Code:" + e.getErrorCode());
// 请求失败,打印详细错误信息
System.out.println("Error Message:" + e.getErrorMessage());
// 请求失败,打印请求id
System.out.println("Request ID:" + e.getErrorRequestId());
System.out.println("Host ID:" + e.getErrorHostId());
e.printStackTrace();
} catch (Exception e) {
System.out.println("SetBucketAcl failed");
// 其他异常信息打印
e.printStackTrace();
}
}
}
|
