设置桶ACL(Node.js SDK)
须知:
开发过程中,您有任何问题可以在github上提交issue,或者在华为云对象存储服务论坛中发帖求助。
功能说明
访问控制列表(Access Control List,ACL)用于资源拥有者给其他账号授予资源的访问权限。默认情况下,创建存储桶或对象时仅资源拥有者对资源的完全控制权限,即桶创建者对桶拥有完全控制权限,对象上传者对对象拥有完全控制权限,而其他账号默认无权访问资源。如果资源拥有者想授予其他账号资源的读写权限,可以使用ACL实现。OBS桶和对象的ACL是基于账号进行授权,授权后对账号和账号下的IAM用户都生效。
了解更多可参见ACL权限控制方式介绍。
调用设置桶ACL接口,您可以修改指定桶ACL。
接口约束
- 单个桶最多支持100条ACL规则。
- 您必须是桶拥有者或拥有设置桶ACL的权限,才能设置桶ACL。建议使用IAM或桶策略进行授权,如果使用IAM则需授予obs:bucket:PutBucketAcl权限,如果使用桶策略则需授予PutBucketAcl权限。相关授权方式介绍可参见OBS权限控制概述,配置方式详见使用IAM自定义策略、自定义创建桶策略。
- OBS支持的Region与Endpoint的对应关系,详细信息请参见地区与终端节点。
方法定义
ObsClient.setBucketAcl(params)请求参数
|
参数名称 |
参数类型 |
是否必选 |
描述 |
|---|---|---|---|
|
Bucket |
string |
必选 |
参数解释: 桶名。 约束限制:
取值范围: 长度为3~63个字符。 默认取值: 无 |
|
ACL |
可选 |
参数解释: 预定义ACL。 约束限制: Owner、Grants与ACL不能全为空。 取值范围: AclType取值详见AclType。 默认取值: 无 |
|
|
Owner |
可选 |
参数解释: 桶的所有者。 约束限制:
取值范围: 详见Owner。 默认取值: 无 |
|
|
Grants |
Grant[] |
可选 |
参数解释: 被授权用户权限信息。 约束限制:
取值范围: 详见Grant。 默认取值: 无 |
|
常量名 |
原始值 |
说明 |
|---|---|---|
|
ObsClient.enums.AclPrivate |
private |
私有读写。 桶或对象的所有者拥有完全控制的权限,其他任何人都没有访问权限。 |
|
ObsClient.enums.AclPublicRead |
public-read |
公共读私有写。 设在桶上,所有人可以获取该桶内对象列表、桶内多段任务、桶的元数据、桶的多版本。 设在对象上,所有人可以获取该对象内容和元数据。 |
|
ObsClient.enums.AclPublicReadWrite |
public-read-write |
公共读写。 设在桶上,所有人可以获取该桶内对象列表、桶内多段任务、桶的元数据、桶的多版本、上传对象、删除对象、初始化段任务、上传段、合并段、复制段、取消多段上传任务。 设在对象上,所有人可以获取该对象内容和元数据。 |
|
ObsClient.enums.AclPublicReadDelivered |
public-read-delivered |
桶公共读,桶内对象公共读。 设在桶上,所有人可以获取该桶内对象列表、桶内多段任务、桶的元数据、桶的多版本,可以获取该桶内对象的内容和元数据。  说明:
AclPublicReadDelivered不能应用于对象。 |
|
ObsClient.enums.AclPublicReadWriteDelivered |
public-read-write-delivered |
桶公共读写,桶内对象公共读写。 设在桶上,所有人可以获取该桶内对象列表、桶内多段任务、桶的元数据、桶的多版本、上传对象、删除对象、初始化段任务、上传段、合并段、复制段、取消多段上传任务,可以获取该桶内对象的内容和元数据。 说明:
AclPublicReadWriteDelivered不能应用于对象。 |
|
ObsClient.enums.AclBucketOwnerFullControl |
bucket-owner-full-control |
设在对象上,桶和对象的所有者拥有对象的完全控制权限,其他任何人都没有访问权限。 默认情况下,上传对象至其他用户的桶中,桶拥有者没有对象的控制权限。对象拥有者为桶拥有者添加此权限控制策略后,桶所有者可以完全控制对象。例如,用户A上传对象x至用户B的桶中,系统默认用户B没有对象x的控制权。当用户A为对象x设置bucket-owner-full-control策略后,用户B就拥有了对象x的控制权。 |
|
参数名称 |
参数类型 |
是否必选 |
描述 |
|---|---|---|---|
|
ID |
string |
作为请求参数时必选 |
参数解释: 所有者的账号ID,即domain_id。 取值范围: 如何获取账号ID请参见如何获取账号ID和用户ID?(Node.js SDK) 默认取值: 无 |
|
DisplayName |
string |
可选 |
参数解释: 所有者的账号用户名。 默认取值: 无 |
|
参数名称 |
参数类型 |
是否必选 |
描述 |
|---|---|---|---|
|
Grantee |
作为请求参数时必选 |
参数解释: 被授权用户相关信息,详见Grantee。 |
|
|
Permission |
作为请求参数时必选 |
参数解释: 被授予的权限。 取值范围: 权限取值范围详见PermissionType。 默认取值: 无 |
|
|
Delivered |
boolean |
可选 |
参数解释: 桶内对象ACL是否继承桶的ACL。 取值范围:
默认取值: 无 |
|
参数名称 |
参数类型 |
是否必选 |
描述 |
|---|---|---|---|
|
Type |
string |
作为请求参数时必选 |
参数解释: 被授权用户的类型。 取值范围: 被授权用户类型的取值范围详见GranteeType。 默认取值: 无 |
|
ID |
string |
作为请求参数时,如果Type为用户类型则必选。 |
参数解释: 被授权用户的账号ID,即domain_id。 取值范围: 如何获取账号ID请参见如何获取账号ID和用户ID?(Node.js SDK) 默认取值: 无 |
|
Name |
string |
作为请求参数时可选 |
参数解释: 被授权用户的账号名。 约束限制:
默认取值: 无 |
|
URI |
作为请求参数时,如果Type为用户组类型则必选。 |
参数解释: 被授权的用户组。 取值范围: 授权用户组取值范围详见GroupUriType。 默认取值: 无 |
|
常量名 |
原始值 |
说明 |
|---|---|---|
|
ObsClient.enums.GroupAllUsers |
AllUsers |
所有用户。 |
|
ObsClient.enums.GroupAuthenticatedUsers |
AuthenticatedUsers |
授权用户,已废弃。 |
|
ObsClient.enums.GroupLogDelivery |
LogDelivery |
日志投递组,已废弃。 |
|
常量名 |
原始值 |
说明 |
|---|---|---|
|
ObsClient.enums.PermissionRead |
READ |
如果有桶的读权限,则可以获取该桶内对象列表、桶内多段任务、桶的元数据、桶的多版本。 如果有对象的读权限,则可以获取该对象内容和元数据。 |
|
ObsClient.enums.PermissionWrite |
WRITE |
如果有桶的写权限,则可以上传、覆盖和删除该桶内任何对象和段。 此权限在对象上不适用。 |
|
ObsClient.enums.PermissionReadAcp |
READ_ACP |
如果有读ACP的权限,则可以获取对应的桶或对象的权限控制列表(ACL)。 桶或对象的所有者永远拥有读对应桶或对象ACP的权限。 |
|
ObsClient.enums.PermissionWriteAcp |
WRITE_ACP |
如果有写ACP的权限,则可以更新对应桶或对象的权限控制列表(ACL)。 桶或对象的所有者永远拥有写对应桶或对象的ACP的权限。 拥有了写ACP的权限,由于可以更改权限控制策略,实际上意味着拥有了完全访问的权限。 |
|
ObsClient.enums.PermissionFullControl |
FULL_CONTROL |
如果有桶的完全控制权限意味着拥有PermissionRead、PermissionWrite、PermissionReadAcp和PermissionWriteAcp的权限。 如果有对象的完全控制权限意味着拥有PermissionRead、PermissionReadAcp和PermissionWriteAcp的权限。 |
返回结果
|
参数名称 |
参数类型 |
描述 |
|---|---|---|
|
CommonMsg |
参数解释: 接口调用完成后的公共信息,包含HTTP状态码,操作失败的错误码等,详见ICommonMsg。 |
|
|
InterfaceResult |
参数解释: 操作成功后的结果数据,详见表12。 约束限制: 当Status大于300时为空。 |
|
参数名称 |
参数类型 |
描述 |
|
Status |
number |
参数解释: OBS服务端返回的HTTP状态码。 取值范围: 状态码是一组从2xx(成功)到4xx或5xx(错误)的数字代码,状态码表示了请求响应的状态。完整的状态码列表请参见状态码。 |
|
Code |
string |
参数解释: OBS服务端返回的错误码。 |
|
Message |
string |
参数解释: OBS服务端返回的错误描述。 |
|
HostId |
string |
参数解释: OBS服务端返回的请求服务端ID。 |
|
RequestId |
string |
参数解释: OBS服务端返回的请求ID。 |
|
Id2 |
string |
参数解释: OBS服务端返回的请求ID2。 |
|
Indicator |
string |
参数解释: OBS服务端返回的详细错误码。 |
代码示例:创桶时指定预定义ACL
以下代码展示如何在创建桶时指定私有读写预定义ACL。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 |
// 引入obs库
// 使用npm安装
const ObsClient = require("esdk-obs-nodejs");
// 使用源码安装
// var ObsClient = require('./lib/obs');
// 创建ObsClient实例
const obsClient = new ObsClient({
// 推荐通过环境变量获取AKSK,这里也可以使用其他外部引入方式传入,如果使用硬编码可能会存在泄露风险
// 您可以登录访问管理控制台获取访问密钥AK/SK,获取方式请参见https://support.huaweicloud.com/usermanual-ca/ca_01_0003.html
access_key_id: process.env.ACCESS_KEY_ID,
secret_access_key: process.env.SECRET_ACCESS_KEY,
// 【可选】如果使用临时AK/SK和SecurityToken访问OBS,同样建议您尽量避免使用硬编码,以降低信息泄露风险。您可以通过环境变量获取访问密钥AK/SK,也可以使用其他外部引入方式传入
// security_token: process.env.SECURITY_TOKEN,
// endpoint填写Bucket对应的Endpoint, 这里以华北-北京四为例,其他地区请按实际情况填写
server: "https://obs.cn-north-4.myhuaweicloud.com",
});
async function createBucket() {
try {
const params = {
// 指定存储桶名称
Bucket: "examplebucket",
// 指定存储桶所在区域,此处以“cn-north-4”为例,必须跟传入的Endpoint中Region保持一致
Location: "cn-north-4",
// 指定存储桶ACL,此处以obs.AclPrivate为例
ACL: obsClient.enums.AclPrivate,
};
// 创建桶
const result = await obsClient.createBucket(params);
if (result.CommonMsg.Status <= 300) {
console.log("Create bucket(%s) successful!", params.Bucket);
console.log("RequestId: %s", result.CommonMsg.RequestId);
return;
};
console.log("An ObsError was found, which means your request sent to OBS was rejected with an error response.");
console.log("Status: %d", result.CommonMsg.Status);
console.log("Code: %s", result.CommonMsg.Code);
console.log("Message: %s", result.CommonMsg.Message);
console.log("RequestId: %s", result.CommonMsg.RequestId);
} catch (error) {
console.log("An Exception was found, which means the client encountered an internal problem when attempting to communicate with OBS, for example, the client was unable to access the network.");
console.log(error);
};
};
createBucket();
|
代码示例:为桶设置预定义ACL
本示例用于设置名为examplebucket桶的ACL权限控制为私有权限。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 |
// 引入obs库
// 使用npm安装
const ObsClient = require("esdk-obs-nodejs");
// 使用源码安装
// var ObsClient = require('./lib/obs');
// 创建ObsClient实例
const obsClient = new ObsClient({
// 推荐通过环境变量获取AKSK,这里也可以使用其他外部引入方式传入,如果使用硬编码可能会存在泄露风险
// 您可以登录访问管理控制台获取访问密钥AK/SK,获取方式请参见https://support.huaweicloud.com/usermanual-ca/ca_01_0003.html
access_key_id: process.env.ACCESS_KEY_ID,
secret_access_key: process.env.SECRET_ACCESS_KEY,
// 【可选】如果使用临时AK/SK和SecurityToken访问OBS,同样建议您尽量避免使用硬编码,以降低信息泄露风险。您可以通过环境变量获取访问密钥AK/SK,也可以使用其他外部引入方式传入
// security_token: process.env.SECURITY_TOKEN,
// endpoint填写Bucket对应的Endpoint, 这里以华北-北京四为例,其他地区请按实际情况填写
server: "https://obs.cn-north-4.myhuaweicloud.com",
});
async function setBucketAcl() {
try {
const params = {
// 指定存储桶名称
Bucket: "examplebucket",
// 指定桶的Acl,此处以私有权限为例
ACL: obsClient.enums.AclPrivate
};
// 设置桶ACL
const result = await obsClient.setBucketAcl(params);
if (result.CommonMsg.Status <= 300) {
console.log("Set bucket(%s)'s acl successful!", params.Bucket);
console.log("RequestId: %s", result.CommonMsg.RequestId);
return;
};
console.log("An ObsError was found, which means your request sent to OBS was rejected with an error response.");
console.log("Status: %d", result.CommonMsg.Status);
console.log("Code: %s", result.CommonMsg.Code);
console.log("Message: %s", result.CommonMsg.Message);
console.log("RequestId: %s", result.CommonMsg.RequestId);
} catch (error) {
console.log("An Exception was found, which means the client encountered an internal problem when attempting to communicate with OBS, for example, the client was unable to access the network.");
console.log(error);
};
};
setBucketAcl();
|
代码示例:直接设置桶ACL
本示例用于设置名为examplebucket桶的ACL权限控制为,所有用户拥有公共读的权限,指定用户(0a03f5833900d3730f13c00f49d5exxx)拥有公共写的权限。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 |
// 引入obs库
// 使用npm安装
const ObsClient = require("esdk-obs-nodejs");
// 使用源码安装
// var ObsClient = require('./lib/obs');
// 创建ObsClient实例
const obsClient = new ObsClient({
// 推荐通过环境变量获取AKSK,这里也可以使用其他外部引入方式传入,如果使用硬编码可能会存在泄露风险
// 您可以登录访问管理控制台获取访问密钥AK/SK,获取方式请参见https://support.huaweicloud.com/usermanual-ca/ca_01_0003.html
access_key_id: process.env.ACCESS_KEY_ID,
secret_access_key: process.env.SECRET_ACCESS_KEY,
// 【可选】如果使用临时AK/SK和SecurityToken访问OBS,同样建议您尽量避免使用硬编码,以降低信息泄露风险。您可以通过环境变量获取访问密钥AK/SK,也可以使用其他外部引入方式传入
// security_token: process.env.SECURITY_TOKEN,
// endpoint填写Bucket对应的Endpoint, 这里以华北-北京四为例,其他地区请按实际情况填写
server: "https://obs.cn-north-4.myhuaweicloud.com",
});
async function setBucketAcl() {
try {
const params = {
// 指定存储桶名称
Bucket: "examplebucket",
// 指定存储桶所有者ID,此处以ownerid为例
Owner: { ID: 'ownerid' },
Grants: [
// 指定所有用户拥有公共读的权限
{ Grantee: { Type: 'Group', URI: obsClient.enums.GroupAllUsers }, Permission: obsClient.enums.PermissionRead },
// 指定特定用户拥有公共写的权限,此处用户ID为0a03f5833900d3730f13c00f49d5exxx
{ Grantee: { Type: 'CanonicalUser', ID: '0a03f5833900d3730f13c00f49d5exxx' }, Permission: obsClient.enums.PermissionWrite },
]
};
// 设置桶ACL
const result = await obsClient.setBucketAcl(params);
if (result.CommonMsg.Status <= 300) {
console.log("Set bucket(%s)'s acl successful!", params.Bucket);
console.log("RequestId: %s", result.CommonMsg.RequestId);
return;
};
console.log("An ObsError was found, which means your request sent to OBS was rejected with an error response.");
console.log("Status: %d", result.CommonMsg.Status);
console.log("Code: %s", result.CommonMsg.Code);
console.log("Message: %s", result.CommonMsg.Message);
console.log("RequestId: %s", result.CommonMsg.RequestId);
} catch (error) {
console.log("An Exception was found, which means the client encountered an internal problem when attempting to communicate with OBS, for example, the client was unable to access the network.");
console.log(error);
};
};
setBucketAcl();
|
