获取桶ACL(Python SDK)
功能介绍
OBS支持对桶操作进行权限控制,您可以为桶设置访问策略,指定某一个用户对某一个桶是否有权行使某一项指定操作。OBS权限控制的方式有IAM、桶策略和ACL三种,ACL按照粒度又分为桶ACL和对象ACL,本节将对桶ACL接口进行详细介绍,更多权限相关内容可参见《对象存储服务权限配置指南》的OBS权限控制概述章节。
桶ACL是跨账号场景的权限,设置授权的对象不是当前账号,也不是当前账号下的IAM用户,而是另一个华为云账号及其账号下的IAM用户;授权的范围是以桶为粒度的,一条ACL策略为一个桶设置策略,因此设置ACL策略时您必须明确指定桶名;桶ACL授予的权限包括桶的访问权限和桶ACL的访问权限两个方面,桶的访问权限包括对桶及桶内对象的查看和编辑权限,桶ACL的访问权限包括对桶ACL策略的查看和编辑权限,详情可参见ACL权限控制方式介绍。
调用获取桶ACL接口,您可以获取指定桶的ACL策略。
接口约束
- 您必须是桶拥有者或拥有获取桶ACL的权限,才能获取桶ACL。建议使用IAM或桶策略进行授权,如果使用IAM则需授予obs:bucket:GetBucketAcl权限,如果使用桶策略则需授予GetBucketAcl权限。相关授权方式介绍可参见OBS权限控制概述,配置方式详见使用IAM自定义策略、自定义创建桶策略。
- OBS支持的Region与Endpoint的对应关系,详细信息请参见地区与终端节点。
方法定义
ObsClient.getBucketAcl(bucketName, extensionHeaders)
请求参数说明
参数名称 |
参数类型 |
是否必选 |
描述 |
---|---|---|---|
bucketName |
str |
必选 |
参数解释: 桶名。 约束限制:
默认取值: 无 |
extensionHeaders |
dict |
可选 |
参数解释: 接口的拓展头域。 取值范围: 参考自定义头域。 默认取值: 无 |
返回结果说明
类型 |
说明 |
---|---|
参数解释: SDK公共结果对象。 |
参数名称 |
参数类型 |
描述 |
---|---|---|
status |
int |
参数解释: HTTP状态码。 取值范围: 状态码是一组从2xx(成功)到4xx或5xx(错误)的数字代码,状态码表示了请求响应的状态。完整的状态码列表请参见状态码。 默认取值: 无 |
reason |
str |
参数解释: HTTP文本描述。 默认取值: 无 |
errorCode |
str |
参数解释: OBS服务端错误码,当status参数小于300时为空。 默认取值: 无 |
errorMessage |
str |
参数解释: OBS服务端错误描述,当status参数小于300时为空。 默认取值: 无 |
requestId |
str |
参数解释: OBS服务端返回的请求ID。 默认取值: 无 |
indicator |
str |
参数解释: OBS服务端返回的错误定位码。 默认取值: 无 |
hostId |
str |
参数解释: 请求的服务端ID,当status参数小于300时为空。 默认取值: 无 |
resource |
str |
参数解释: 发生错误时相关的桶或对象,当status参数小于300时为空。 默认取值: 无 |
header |
list |
参数解释: 响应消息头列表,由多个元组构成。每个元组均包含两个元素,代表响应头的键值对。 默认取值: 无 |
body |
object |
参数解释: 操作成功后的结果数据,当status大于300时为空。该值根据调用接口的不同而不同,参见“桶相关接口”章节和“对象相关接口”章节的详细描述。 默认取值: 无 |
GetResult.body类型 |
说明 |
---|---|
参数解释: 桶的访问权限。 |
参数名称 |
参数类型 |
是否必选 |
描述 |
---|---|---|---|
owner |
作为请求参数时必选 |
参数解释: 桶的所有者,详细参考Owner。 |
|
grants |
list of Grant |
作为请求参数时必选 |
参数解释: 被授权用户权限信息,详细参考Grant。 |
delivered |
bool |
作为请求参数时可选 |
参数解释: 桶的ACL是否向桶内对象传递。作用于桶内所有对象。 取值范围: True:是,桶ACL向桶内对象传递。 False:否,桶ACL不向桶内对象传递,仅作用于桶。 默认取值: False |
参数名称 |
参数类型 |
是否必选 |
描述 |
---|---|---|---|
owner_id |
str |
作为请求参数时必选 |
参数解释: 所有者的账号ID,即domain_id。 取值范围: 如何获取账号ID请参见如何获取账号ID和用户ID? 默认取值: 无 |
owner_name |
str |
作为请求参数时可选 |
参数解释: 所有者的账号用户名。 取值范围: 如何获取账号用户名请参见如何获取用户名? 默认取值: 无 |
参数名称 |
参数类型 |
是否必选 |
描述 |
---|---|---|---|
grantee |
作为请求参数时必选 |
参数解释: 被授权用户,详细参考Grantee。 默认取值: 无 |
|
permission |
str |
作为请求参数时必选 |
参数解释: 被授予的权限,详细参考权限。 默认取值: 无 |
delivered |
bool |
作为请求参数时可选 |
参数解释: 桶的ACL是否向桶内对象传递。作用于桶内所有对象。 取值范围: True:是,桶ACL向桶内对象传递。 False:否,桶ACL不向桶内对象传递,仅作用于桶。 默认取值: False |
参数名称 |
参数类型 |
是否必选 |
描述 |
---|---|---|---|
grantee_id |
str |
作为请求参数时,如果group为空则必选。 |
参数解释: 被授权用户的账号ID,即domain_id。 取值范围: 如何获取账号ID请参见如何获取账号ID和用户ID?(Python SDK) 默认取值: 无 |
grantee_name |
str |
作为请求参数时可选 |
参数解释: 被授权的用户名。 约束限制:
默认取值: 无 |
group |
str |
作为请求参数时,如果grantee_id为空则必选。 |
参数解释: 被授权的用户组。 取值范围: 授权用户组取值范围详见用户组。 默认取值: 无 |
常量值 |
说明 |
---|---|
READ |
读权限。 如果有桶的读权限,则可以获取该桶内对象列表、桶内多段任务、桶的元数据、桶的多版本。 如果有对象的读权限,则可以获取该对象内容和元数据。 |
WRITE |
写权限。 如果有桶的写权限,则可以上传、覆盖和删除该桶内任何对象和段。 此权限在对象上不适用。 |
READ_ACP |
读取ACL配置的权限。 如果有读ACP的权限,则可以获取对应的桶或对象的权限控制列表(ACL)。 桶或对象的所有者永远拥有读对应桶或对象ACP的权限。 |
WRITE_ACP |
修改ACL配置的权限。 如果有写ACP的权限,则可以更新对应桶或对象的权限控制列表(ACL)。 桶或对象的所有者永远拥有写对应桶或对象的ACP的权限。 拥有了写ACP的权限,由于可以更改权限控制策略,实际上意味着拥有了完全访问的权限。 |
FULL_CONTROL |
完全控制权限,包括对桶或对象的读写权限,以及对桶或对象ACL配置的读写权限。 如果有桶的完全控制权限意味着拥有READ、WRITE、READ_ACP和WRITE_ACP的权限。 如果有对象的完全控制权限意味着拥有READ、READ_ACP和WRITE_ACP的权限。 |
grantee_id与grantee_name配套使用,且与group互斥,即被授权用户可以是一个具体用户(通过grantee_id标识)或者是一个用户组。
代码样例
本示例用于获取名为examplebucket的桶访问权限。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 |
from obs import ObsClient import os import traceback # 推荐通过环境变量获取AKSK,这里也可以使用其他外部引入方式传入,如果使用硬编码可能会存在泄露风险 # 您可以登录访问管理控制台获取访问密钥AK/SK,获取方式请参见https://support.huaweicloud.com/usermanual-ca/ca_01_0003.html ak = os.getenv("AccessKeyID") sk = os.getenv("SecretAccessKey") # 【可选】如果使用临时AKSK和SecurityToken访问OBS,则同样推荐通过环境变量获取 # security_token = os.getenv("SecurityToken") # server填写Bucket对应的Endpoint, 这里以华北-北京四为例,其他地区请按实际情况填写 server = "https://obs.cn-north-4.myhuaweicloud.com" # 创建obsClient实例 # 如果使用临时AKSK和SecurityToken访问OBS,需要在创建实例时通过security_token参数指定securityToken值 obsClient = ObsClient(access_key_id=ak, secret_access_key=sk, server=server) try: bucketName="examplebucket" # 获取桶的访问权限 resp = obsClient.getBucketAcl(bucketName) # 返回码为2xx时,接口调用成功,否则接口调用失败 if resp.status < 300: print('Get Bucket Acl Succeeded') print('requestId:', resp.requestId) print('owner_id:', resp.body.owner.owner_id) print('owner_name:', resp.body.owner.owner_name) index = 1 for grant in resp.body.grants: print('grant [' + str(index) + ']') print('grant_id:', grant.grantee.grantee_id) print('grant_name:', grant.grantee.grantee_name) print('group:', grant.grantee.group) print('permission:', grant.permission) index += 1 else: print('Get Bucket Acl Failed') print('requestId:', resp.requestId) print('errorCode:', resp.errorCode) print('errorMessage:', resp.errorMessage) except: print('Get Bucket Acl Failed') print(traceback.format_exc()) |