更新时间:2024-10-11 GMT+08:00
分享

设置对象ACL(Node.js SDK)

开发过程中,您有任何问题可以在github上提交issue,或者在华为云对象存储服务论坛中发帖求助。

功能说明

OBS支持对对象的操作进行权限控制。默认情况下,只有对象的创建者才有该对象的读写权限。用户也可以设置其他的访问策略,比如对一个对象可以设置公共访问策略,允许所有人对其都有读权限。SSE-KMS方式加密的对象即使设置了ACL,跨租户也不生效。

OBS用户在上传对象时可以设置权限控制策略,也可以通过ACL操作API接口对已存在的对象更改或者获取ACL(access control list) 。

对象访问权限与桶访问权限类似(参见桶访问权限),也可支持预定义访问策略或直接设置。

对象访问权限(ACL)可以通过三种方式设置:

  1. 上传对象时指定预定义访问策略,参见代码示例一:上传对象时指定预定义访问策略
  2. 调用ObsClient.setObjectAcl指定预定义访问策略,参见代码示例二:为对象设置预定义访问策略
  3. 调用ObsClient.setObjectAcl直接设置,参见代码示例三:直接设置对象访问权限

接口约束

  • 您必须是桶拥有者或拥有设置对象ACL的权限,才能设置对象ACL。建议使用IAM或桶策略进行授权,如果使用IAM则需授予obs:object:PutObjectAcl权限,如果使用桶策略则需授予PutObjectAcl权限。相关授权方式介绍可参见OBS权限控制概述,配置方式详见使用IAM自定义策略配置对象策略
  • OBS支持的Region与Endpoint的对应关系,详细信息请参见地区与终端节点
  • 一个对象的ACL最多支持配置100条授权策略。

方法定义

ObsClient.setObjectAcl(params)

请求参数

表1 请求参数列表

参数名称

参数类型

是否必选

描述

Bucket

string

必选

参数解释

桶名。

约束限制:

  • 桶的名字需全局唯一,不能与已有的任何桶名称重复,包括其他用户创建的桶。
  • 桶命名规则如下:
    • 3~63个字符,数字或字母开头,支持小写字母、数字、“-”、“.”。
    • 禁止使用IP地址。
    • 禁止以“-”或“.”开头及结尾。
    • 禁止两个“.”相邻(如:“my..bucket”)。
    • 禁止“.”和“-”相邻(如:“my-.bucket”和“my.-bucket”)。
  • 同一用户在同一个区域多次创建同名桶不会报错,创建的桶属性以第一次请求为准。

取值范围:

长度为3~63个字符。

默认取值:

Key

string

必选

参数解释:

对象名。对象名是对象在存储桶中的唯一标识。对象名是对象在桶中的完整路径,路径中不包含桶名。

例如,您对象的访问地址为examplebucket.obs.cn-north-4. myhuaweicloud.com/folder/test.txt 中,对象名为folder/test.txt。

约束限制:

取值范围:

长度大于0且不超过1024的字符串。

默认取值:

VersionId

string

可选

参数解释:

对象的版本号。例如:G001117FCE89978B0000401205D5DC9A。

约束限制:

取值范围:

长度为32的字符串。

默认取值:

ACL

AclType

可选

参数解释:

预定义访问策略。

约束限制:

Owner、Grants与ACL不能全为空。

取值范围:

AclType取值详见AclType

默认取值:

Owner

Owner

可选

参数解释:

桶的所有者。

约束限制:

  • Owner和Grants必须配套使用,且与ACL互斥。
  • Owner、Grants与ACL不能全为空。

取值范围:

详见Owner

默认取值:

Delivered

boolean

可选

参数解释:

对象ACL是否继承桶的ACL。

取值范围:

  • true:对象ACL继承桶的ACL。
  • false:对象ACL不继承桶的ACL。

默认取值:

Grants

Grant[]

可选

参数解释:

被授权用户权限信息。

约束限制:

  • Owner和Grants必须配套使用,且与ACL互斥。
  • Owner、Grants与ACL不能全为空。

取值范围:

详见Grant

默认取值:

表2 AclType

常量名

原始值

说明

ObsClient.enums.AclPrivate

private

私有读写。

桶或对象的所有者拥有完全控制的权限,其他任何人都没有访问权限。

ObsClient.enums.AclPublicRead

public-read

公共读私有写。

设在桶上,所有人可以获取该桶内对象列表、桶内多段任务、桶的元数据、桶的多版本。

设在对象上,所有人可以获取该对象内容和元数据。

ObsClient.enums.AclPublicReadWrite

public-read-write

公共读写。

设在桶上,所有人可以获取该桶内对象列表、桶内多段任务、桶的元数据、桶的多版本、上传对象、删除对象、初始化段任务、上传段、合并段、复制段、取消多段上传任务。

设在对象上,所有人可以获取该对象内容和元数据。

ObsClient.enums.AclPublicReadDelivered

public-read-delivered

桶公共读,桶内对象公共读。

设在桶上,所有人可以获取该桶内对象列表、桶内多段任务、桶的元数据、桶的多版本,可以获取该桶内对象的内容和元数据。

说明:

AclPublicReadDelivered不能应用于对象。

ObsClient.enums.AclPublicReadWriteDelivered

public-read-write-delivered

桶公共读写,桶内对象公共读写。

设在桶上,所有人可以获取该桶内对象列表、桶内多段任务、桶的元数据、桶的多版本、上传对象、删除对象、初始化段任务、上传段、合并段、复制段、取消多段上传任务,可以获取该桶内对象的内容和元数据。

说明:

AclPublicReadWriteDelivered不能应用于对象。

ObsClient.enums.AclBucketOwnerFullControl

bucket-owner-full-control

设在对象上,桶和对象的所有者拥有对象的完全控制权限,其他任何人都没有访问权限。

默认情况下,上传对象至其他用户的桶中,桶拥有者没有对象的控制权限。对象拥有者为桶拥有者添加此权限控制策略后,桶所有者可以完全控制对象。例如,用户A上传对象x至用户B的桶中,系统默认用户B没有对象x的控制权。当用户A为对象x设置bucket-owner-full-control策略后,用户B就拥有了对象x的控制权。

表3 Owner

参数名称

参数类型

是否必选

描述

ID

string

作为请求参数时必选

参数解释:

所有者的账号ID,即domain_id。

取值范围:

如何获取账号ID请参见如何获取账号ID和用户ID?(Node.js SDK)

默认取值:

DisplayName

string

可选

参数解释:

所有者的账号用户名。

默认取值:

表4 Grant

参数名称

参数类型

是否必选

描述

Grantee

Grantee

作为请求参数时必选

参数解释:

被授权用户相关信息,详见Grantee

Permission

PermissionType

作为请求参数时必选

参数解释:

被授予的权限。

取值范围:

权限取值范围详见PermissionType

默认取值:

表5 Grantee

参数名称

参数类型

是否必选

描述

Type

string

作为请求参数时必选

参数解释:

被授权用户的类型。

取值范围:

被授权用户类型的取值范围详见GranteeType

默认取值:

ID

string

作为请求参数时,如果Type为用户类型则必选。

参数解释:

被授权用户的账号ID,即domain_id。

取值范围:

如何获取账号ID请参见如何获取账号ID和用户ID?(Node.js SDK)

默认取值:

Name

string

作为请求参数时可选

参数解释:

被授权用户的账号名。

约束限制:

  • 不支持中文。
  • 只能以字母开头。
  • 长度为6-32个字符。
  • 只能包含英文字母、数字或特殊字符(-_)。

默认取值:

URI

GroupUriType

作为请求参数时,如果Type为用户组类型则必选。

参数解释:

被授权的用户组。

取值范围:

授权用户组取值范围详见GroupUriType

默认取值:

表6 GranteeType

常量值

说明

Group

授权给用户组。

CanonicalUser

授权给单个用户。

表7 GroupUriType

常量名

原始值

说明

ObsClient.enums.GroupAllUsers

AllUsers

所有用户。

ObsClient.enums.GroupAuthenticatedUsers

AuthenticatedUsers

授权用户,已废弃。

ObsClient.enums.GroupLogDelivery

LogDelivery

日志投递组,已废弃。

表8 PermissionType

常量名

原始值

说明

ObsClient.enums.PermissionRead

READ

如果有桶的读权限,则可以获取该桶内对象列表、桶内多段任务、桶的元数据、桶的多版本。

如果有对象的读权限,则可以获取该对象内容和元数据。

ObsClient.enums.PermissionWrite

WRITE

如果有桶的写权限,则可以上传、覆盖和删除该桶内任何对象和段。

此权限在对象上不适用。

ObsClient.enums.PermissionReadAcp

READ_ACP

如果有读ACP的权限,则可以获取对应的桶或对象的权限控制列表(ACL)。

桶或对象的所有者永远拥有读对应桶或对象ACP的权限。

ObsClient.enums.PermissionWriteAcp

WRITE_ACP

如果有写ACP的权限,则可以更新对应桶或对象的权限控制列表(ACL)。

桶或对象的所有者永远拥有写对应桶或对象的ACP的权限。

拥有了写ACP的权限,由于可以更改权限控制策略,实际上意味着拥有了完全访问的权限。

ObsClient.enums.PermissionFullControl

FULL_CONTROL

如果有桶的完全控制权限意味着拥有PermissionRead、PermissionWrite、PermissionReadAcp和PermissionWriteAcp的权限。

如果有对象的完全控制权限意味着拥有PermissionRead、PermissionReadAcp和PermissionWriteAcp的权限。

返回结果

表9 返回结果

参数类型

描述

表10

说明:

该接口返回是一个Promise类型,需要使用Promise、async/await语法处理。

参数解释:

接口返回信息,详见表10

表10 Response

参数名称

参数类型

描述

CommonMsg

ICommonMsg

参数解释:

接口调用完成后的公共信息,包含HTTP状态码,操作失败的错误码等,详见ICommonMsg

InterfaceResult

表12

参数解释:

操作成功后的结果数据,详见表12

约束限制:

当Status大于300时为空。

表11 ICommonMsg

参数名称

参数类型

描述

Status

number

参数解释:

OBS服务端返回的HTTP状态码。

取值范围:

状态码是一组从2xx(成功)到4xx或5xx(错误)的数字代码,状态码表示了请求响应的状态。完整的状态码列表请参见状态码

Code

string

参数解释:

OBS服务端返回的错误码。

Message

string

参数解释:

OBS服务端返回的错误描述。

HostId

string

参数解释:

OBS服务端返回的请求服务端ID。

RequestId

string

参数解释:

OBS服务端返回的请求ID。

Id2

string

参数解释:

OBS服务端返回的请求ID2。

Indicator

string

参数解释:

OBS服务端返回的详细错误码。

表12 BaseResponseOutput

参数名称

参数类型

描述

RequestId

string

参数解释:

OBS服务端返回的请求ID。

代码示例一:上传对象时指定预定义访问策略

以下代码展示如何在上传对象时指定预定义访问策略:

// 引入obs库
// 使用npm安装
const ObsClient = require("esdk-obs-nodejs");
// 使用源码安装
// var ObsClient = require('./lib/obs');

// 创建ObsClient实例
const obsClient = new ObsClient({
  // 推荐通过环境变量获取AKSK,这里也可以使用其他外部引入方式传入,如果使用硬编码可能会存在泄露风险
  // 您可以登录访问管理控制台获取访问密钥AK/SK,获取方式请参见https://support.huaweicloud.com/usermanual-ca/ca_01_0003.html
  access_key_id: process.env.ACCESS_KEY_ID,
  secret_access_key: process.env.SECRET_ACCESS_KEY,
  // 【可选】如果使用临时AK/SK和SecurityToken访问OBS,同样建议您尽量避免使用硬编码,以降低信息泄露风险。您可以通过环境变量获取访问密钥AK/SK,也可以使用其他外部引入方式传入
  // security_token: process.env.SECURITY_TOKEN,
  // endpoint填写Bucket对应的Endpoint, 这里以华北-北京四为例,其他地区请按实际情况填写
  server: "https://obs.cn-north-4.myhuaweicloud.com",
});

async function putObject() {
  try {
    const params = {
      // 指定存储桶名称
      Bucket: "examplebucket",
      // 指定对象,此处以 example/objectname 为例
      Key: "example/objectname",
      // 指定文本对象
      Body : 'Hello OBS',
      // 设置对象访问权限为公共读
      ACL : obsClient.enums.AclPublicRead
    };
    // 上传对象
    const result = await obsClient.putObject(params);
    if (result.CommonMsg.Status <= 300) {
      console.log("Put object(%s) under the bucket(%s) successful!!", params.Key, params.Bucket);
      console.log("RequestId: %s", result.CommonMsg.RequestId);
      console.log("StorageClass:%s, ETag:%s", result.InterfaceResult.StorageClass, result.InterfaceResult.ETag);
      return;
    };
    console.log("An ObsError was found, which means your request sent to OBS was rejected with an error response.");
    console.log("Status: %d", result.CommonMsg.Status);
    console.log("Code: %s", result.CommonMsg.Code);
    console.log("Message: %s", result.CommonMsg.Message);
    console.log("RequestId: %s", result.CommonMsg.RequestId);
  } catch (error) {
    console.log("An Exception was found, which means the client encountered an internal problem when attempting to communicate with OBS, for example, the client was unable to access the network.");
    console.log(error);
  };
};

putObject();

代码示例二:为对象设置预定义访问策略

以下代码展示如何为对象设置预定义访问策略:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
// 引入obs库
// 使用npm安装
const ObsClient = require("esdk-obs-nodejs");
// 使用源码安装
// var ObsClient = require('./lib/obs');

// 创建ObsClient实例
const obsClient = new ObsClient({
  // 推荐通过环境变量获取AKSK,这里也可以使用其他外部引入方式传入,如果使用硬编码可能会存在泄露风险
  // 您可以登录访问管理控制台获取访问密钥AK/SK,获取方式请参见https://support.huaweicloud.com/usermanual-ca/ca_01_0003.html
  access_key_id: process.env.ACCESS_KEY_ID,
  secret_access_key: process.env.SECRET_ACCESS_KEY,
  // 【可选】如果使用临时AK/SK和SecurityToken访问OBS,同样建议您尽量避免使用硬编码,以降低信息泄露风险。您可以通过环境变量获取访问密钥AK/SK,也可以使用其他外部引入方式传入
  // security_token: process.env.SECURITY_TOKEN,
  // endpoint填写Bucket对应的Endpoint, 这里以华北-北京四为例,其他地区请按实际情况填写
  server: "https://obs.cn-north-4.myhuaweicloud.com",
});

async function setObjectAcl() {
  try {
    const params = {
      // 指定存储桶名称
      Bucket: "examplebucket",
      // 指定对象名,此处以 example/objectname 为例
      Key: "example/objectname",
      // 设置对象访问权限为私有读写
      ACL : obsClient.enums.AclPrivate
    };
    // 设置桶ACL
    const result = await obsClient.setObjectAcl(params);
    if (result.CommonMsg.Status <= 300) {
      console.log("Set Object(%s)'s acl successful with Bucket(%s)!", params.Key, params.Bucket);
      console.log("RequestId: %s", result.CommonMsg.RequestId);
      return;
    };
    console.log("An ObsError was found, which means your request sent to OBS was rejected with an error response.");
    console.log("Status: %d", result.CommonMsg.Status);
    console.log("Code: %s", result.CommonMsg.Code);
    console.log("Message: %s", result.CommonMsg.Message);
    console.log("RequestId: %s", result.CommonMsg.RequestId);
  } catch (error) {
    console.log("An Exception was found, which means the client encountered an internal problem when attempting to communicate with OBS, for example, the client was unable to access the network.");
    console.log(error);
  };
};

setObjectAcl();

代码示例三:直接设置对象访问权限

以下代码展示如何直接设置对象访问权限:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
// 引入obs库
// 使用npm安装
const ObsClient = require("esdk-obs-nodejs");
// 使用源码安装
// var ObsClient = require('./lib/obs');

// 创建ObsClient实例
const obsClient = new ObsClient({
  // 推荐通过环境变量获取AKSK,这里也可以使用其他外部引入方式传入,如果使用硬编码可能会存在泄露风险
  // 您可以登录访问管理控制台获取访问密钥AK/SK,获取方式请参见https://support.huaweicloud.com/usermanual-ca/ca_01_0003.html
  access_key_id: process.env.ACCESS_KEY_ID,
  secret_access_key: process.env.SECRET_ACCESS_KEY,
  // 【可选】如果使用临时AK/SK和SecurityToken访问OBS,同样建议您尽量避免使用硬编码,以降低信息泄露风险。您可以通过环境变量获取访问密钥AK/SK,也可以使用其他外部引入方式传入
  // security_token: process.env.SECURITY_TOKEN,
  // endpoint填写Bucket对应的Endpoint, 这里以华北-北京四为例,其他地区请按实际情况填写
  server: "https://obs.cn-north-4.myhuaweicloud.com",
});

async function setObjectAcl() {
  try {
    const params = {
      // 指定存储桶名称
      Bucket: "examplebucket",
      // 指定对象名,此处以 example/objectname 为例
      Key: "example/objectname",
      // 指定版本对象的版本号
      VersionId: 'G001117FCE89978B0000401205D5DC9A'
      // 指定对象的所有者信息       
      Owner: { 'ID': 'ownerid' },
      // 指定被授权的用户信息
      Grants: [
        // 为指定用户设置写权限,此处用户ID为0a03f5833900d3730f13c00f49d5exxx
        { Grantee: { Type: 'CanonicalUser', ID: '0a03f5833900d3730f13c00f49d5exxx' }, Permission: obsClient.enums.PermissionWrite },
        // 为所有用户设置读权限                       
        { Grantee: { Type: 'Group', URI: obsClient.enums.GroupAllUsers }, Permission: obsClient.enums.PermissionRead },
      ]
    };
    // 设置版本对象ACL
    const result = await obsClient.setObjectAcl(params);
    if (result.CommonMsg.Status <= 300) {
      console.log("Set Object(%s)'s acl successful with Bucket(%s)!", params.Key, params.Bucket);
      console.log("RequestId: %s", result.CommonMsg.RequestId);
      return;
    };
    console.log("An ObsError was found, which means your request sent to OBS was rejected with an error response.");
    console.log("Status: %d", result.CommonMsg.Status);
    console.log("Code: %s", result.CommonMsg.Code);
    console.log("Message: %s", result.CommonMsg.Message);
    console.log("RequestId: %s", result.CommonMsg.RequestId);
  } catch (error) {
    console.log("An Exception was found, which means the client encountered an internal problem when attempting to communicate with OBS, for example, the client was unable to access the network.");
    console.log(error);
  };
};

setObjectAcl();

相关文档