中心的要素 | 説明 | 入力必須かどうか |
バージョン version | 記述するポリシー構文のバージョンです。現在許可されている値は2.0のみです | はい |
プリンシパル principal | ポリシーが権限を付与するエンティティの記述に用いられます。ユーザー(デベロッパー、サブアカウント、匿名ユーザー)、ユーザーグループが含まれます | ポリシー管理API内およびポリシー構文関連パラメータ内でのみこの要素を使用することができます |
ステートメント statement | 1つまたは複数の権限の詳細情報の記述に用いられます。この要素にはaction、resource、condition、effectなどのいくつかの他の要素の権限または権限セットが含まれます。1つのポリシーには1つのstatement要素しかありません | はい |
アクション action | 許可または拒否するアクションの記述に用いられます。アクションは単一のAPIのアクションまたは複数のAPIアクションのセットとすることができます。アクション(action)の要素はアルファベットの大文字と小文字を区別する必要があり、例えば name/cos:GetService などとします | はい |
リソース resource | 権限の具体的なデータの記述に用いられます。リソースは6セグメント式で記述します。リソース定義の詳細は各製品によって異なります。リソース情報の指定方法については、作成したリソースステートメントに対応する製品ドキュメントをご参照ください | はい |
発効条件 condition | ポリシー発効の制約条件の記述に用いられます。条件はオペレーター、アクションキーとアクション値で構成されています。条件値には時間、IPアドレスなどの情報を含めることができます。一部のサービスは、条件に対しほかの値を指定することを認めています | いいえ |
エフェクト effect | ステートメントによる結果の記述に用いられます。allow(許可)とdeny(明示的な拒否)の2種類が含まれます | はい |
制限項目 | 制限値 |
1つのルートアカウント内のユーザーグループ数 | 300 |
1つのルートアカウント内のサブアカウント数 | 1000 |
1つのルートアカウント内のロール数 | 1000 |
1つのサブアカウントに追加できるユーザーグループ数 | 10 |
1つのコラボレーターがコラボレートできるルートアカウント数 | 10 |
1つのユーザーグループ内のサブアカウント数 | 100 |
1つのルートアカウントが作成できるカスタムポリシー数 | 1500 |
1つのユーザー、ユーザーグループまたはロールに直接バインドできるポリシー数 | 200 |
1つのポリシー構文の最大文字数 | 4096 |
10.*.*.10/24
セグメントの場合に、オブジェクトのアップロードおよびオブジェクトのダウンロード権限を許可するものです。{"version": "2.0","principal":{"qcs": ["qcs::cam::uin/100000000001:uin/100000000011"]},"statement": [{"effect": "allow","action": ["name/cos:PutObject", "name/cos:GetObject"],"resource": ["qcs::cos:ap-beijing:uid/1250000000:examplebucket-bj-1250000000/*","qcs::cos:ap-guangzhou:uid/1250000000:examplebucket-gz-1250000000/exampleobject"],"condition":{"ip_equal":{"qcs:ip": "10.*.*.10/24"}}}]}
この記事はお役に立ちましたか?