(resource:*)
またはすべてのアクション(action:*)
の権限を直接与えてしまうと、権限の範囲が大きすぎるためにデータセキュリティ上のリスクが生じる場合があります。"principal":{"qcs": ["qcs::cam::uin/100000000001:uin/100000000001"]}
"principal":{"qcs": ["qcs::cam::anonymous:anonymous"]}
"principal":{"qcs": ["qcs::cam::uin/100000000001:uin/100000000001"]}
"principal":{"qcs": ["qcs::cam::uin/100000000001:uin/100000000011"]}
"effect" : "allow"
説明 | 対応するAPIインターフェース |
name/cos:GetService | GET Service |
name/cos:GetBucket | GET Bucket (List Objects) |
name/cos:PutBucket | PUT Bucket |
name/cos:DeleteBucket | DELETE Bucket |
説明 | 対応するAPIインターフェース |
name/cos:GetObject | GET Object |
name/cos:PutObject | PUT Object |
name/cos:HeadObject | HEAD Object |
name/cos:DeleteObject | DELETE Object |
"action":["name/cos:GetObject","name/cos:HeadObject"]
qcs:project_id:service_type:region:account:resource
パラメータ | 説明 | 入力必須かどうか |
qcs | qcloud serviceの略称であり、Tencent Cloudのクラウドサービスであることを表します。 | はい |
project_id | プロジェクト情報を記述します。CAMのレガシーロジックとの互換性のためにのみ使用されます。 | オプション |
service_type | 「COS」のような、製品の略称を記述します。 | はい |
region | はい | |
account | リソース所有者のルートアカウント情報を記述します。現在、リソース所有者の記述方式は2種類をサポートしています。1つはuin方式、すなわちルートアカウントのUINアカウントであり、 uin/${OwnerUin} で表され、uin/100000000001のようになります。もう1つはuid方式、すなわちルートアカウントのAPPIDであり、uid/${appid} で表され、uid/1250000000のようになります。現在、COSのリソース所有者はすべてuid方式を使用して記述され、ルートアカウントの開発者APPIDとなります。 | はい |
resource | 具体的なリソースの詳細を記述します。COSサービスではバケットのXML APIアクセスドメイン名を使用して記述します。 | はい |
"resource": ["qcs::cos:ap-guangzhou:uid/1250000000:examplebucket-1250000000/*"]
"resource": ["qcs::cos:ap-guangzhou:uid/1250000000:examplebucket-1250000000/folder/*"]
"resource": ["qcs::cos:ap-guangzhou:uid/1250000000:examplebucket-1250000000/folder/exampleobject"]
条件オペレーター | 意味 | 条件名 | 例 |
ip_equal | IP一致 | qcs:ip | {"ip_equal":{"qcs:ip ":"10.121.2.0/24"}} |
ip_not_equal | IP不一致 | qcs:ip | {"ip_not_equal":{"qcs:ip ":["10.121.1.0/24", "10.121.2.0/24"]}} |
"ip_equal":{"qcs:ip ":"10.121.2.0/24"}
"ip_equal":{"qcs: ip": ["101.226.100.185","101.226.100.186"]}
{"version": "2.0","principal":{"qcs": ["qcs: : cam: : anonymous: anonymous"]},"statement":[{"action":["name/cos: GetObject","name/cos: HeadObject"],"condition":{"ip_equal":{"qcs: ip": ["101.226.100.185","101.226.100.186"]}},"effect": "allow","resource":["qcs: : cos: ap-guangzhou: uid/1250000000: examplebucket-1250000000.ap-guangzhou.myqcloud.com/*"]}]}
この記事はお役に立ちましたか?