条件键说明及使用示例

Recent Pages

条件键说明及使用示例

最后更新时间：2024-11-21 15:23:17
在使用访问策略授予权限时，您可以指定策略的 生效条件，例如限制用户访问来源、上传文件的存储类型等。
本文档为您提供了在存储桶策略中使用对象存储（Cloud Object Storage，COS）条件键的常用示例，您可以在 生效条件 文档中查看 COS 支持的全部条件键和适用请求。
说明：
当您使用条件键编写策略时，请务必遵循最小权限原则，仅为适用请求（action）添加相应的条件键，避免在指定操作（action）时使用通配符“*”，导致请求失败，关于条件键的介绍，可参见 生效条件 文档。
当您使用访问管理 CAM 控制台创建策略时，请注意语法格式，version、principal、statement、effect、action、resource、condition 语法元素需保持首字母大写或者全小写。
条件键使用示例
限制用户访问 IP（qcs:ip）
条件键 qcs:ip
使用条件键 qcs:ip 限制用户访问 IP，适用于所有请求。
示例：只允许指定 IP 来源的用户访问
以下策略示例描述为：允许属于主账号 ID 为100000000001（APPID 为1250000000）下的子账号 ID 100000000002，对北京地域的存储桶 examplebucket-bj 和广州地域的存储桶 examplebucket-gz 下的对象 exampleobject，在访问 IP 在 192.168.1.0/24 网段和 IP 为 101.226.100.185 或 101.226.100.186 时，拥有上传对象和下载对象的权限。
{
    "version": "2.0",
    "principal": {
        "qcs": [
            "qcs::cam::uin/100000000001:uin/100000000002"
        ]
    },
    "statement": [
        {
            "effect": "allow",
            "action": [
                "name/cos:PutObject",
                "name/cos:GetObject"
            ],
            "resource": [
                "qcs::cos:ap-guangzhou:uid/1250000000:examplebucket-gz-1250000000/exampleobject"
            ],
            "condition": {
                "ip_equal": {
                    "qcs:ip": [
                        "192.168.1.0/24",
                        "101.226.100.185",
                        "101.226.100.186"
                    ]
                }
            }
        }
    ]
}
限制 vpcid（vpc:requester_vpc）
条件键 vpc:requester_vpc
使用条件键 vpc:requester_vpc 限制用户访问的 vpcid，关于 vpcid 的更多介绍，请参见腾讯云产品 私有网络。
示例：限制 vpcid 为 aqp5jrc1
以下策略示例描述为：允许属于主账号 ID 为100000000001（APPID 为1250000000）下的子账号 ID 100000000002访问存储桶 examplebucket-1250000000，在 vpcid 为 aqp5jrc1 时请求获得授权。
{
  "statement": [
    {
      "action": [
        "name/cos:*"
      ],
      "condition": {
        "string_equal": {
          "vpc:requester_vpc": [
            "vpc-aqp5jrc1"
          ]
        }
      },
      "effect": "allow",
      "principal": {
        "qcs": [
          "qcs::cam::uin/100000000001:uin/100000000002"
        ]
      },
      "resource": [
        "qcs::cos:ap-beijing:uid/1250000000:examplebucket-1250000000/*"
      ]
    }
  ],
  "version": "2.0"
}
只允许访问对象的最新版本或者指定版本（cos:versionid）
请求参数 versionid
请求参数 versionid 表示对象的版本号，关于版本控制相关内容可查看 版本控制概述。您可以在下载对象（GetObject）、删除对象（DeleteObject）时使用请求参数 versionid 指定需要操作的对象版本。
不带 versionid 请求参数时，请求默认作用于对象的最新版本。
versionid 请求参数为一个空字符串时，等同于不带 versionid 请求参数时。
versionid 请求参数为字符串 "null" 的情况。对于一个存储桶在开启版本控制之前上传的对象，开启版本控制后，这批对象的版本号统一是字符串 "null"。
条件键 cos:versionid
条件键 cos:versionid 用于限制请求参数 versionid。
示例1：只允许用户获取指定版本号的对象
假设主账号（uin:100000000001）拥有存储桶 examplebucket-1250000000，需要向其子用户（uin:100000000002）进行授权，仅允许子用户获取指定版本号的对象。
采用以下存储桶策略后，子用户（uin:100000000002）发起下载对象请求时，只有在携带了 versionid 参数，且 versionid 的值为版本号 “MTg0NDUxNTc1NjIzMTQ1MDAwODg” 时，请求才会成功。
{
    "version":"2.0",
    "statement":[
        {
            "principal":{
                "qcs":[
                    "qcs::cam::uin/100000000001:uin/100000000002"
                ]
            },
            "effect":"allow",
            "action":[
                "name/cos:GetObject"
            ],
            "condition":{
                "string_equal":{
                    "cos:versionid":"MTg0NDUxNTc1NjIzMTQ1MDAwODg"
                }
            },
            "resource":[
                "qcs::cos:ap-guangzhou:uid/1250000000:examplebucket-1250000000/*"
            ]
        }
    ]
}
添加显式拒绝
当使用上述策略为子用户授予权限时，由于子用户可能通过其他途径获得没有任何条件的相同权限，范围更大的授权策略生效。例如，若子用户处于某个用户组中，主账户为用户组赋予了 GetObject 权限而没有附加任何条件，以上策略对版本号的限制将不起作用。
为了应对这种情况，您可以在上述策略的基础上，通过添加显式拒绝的策略（deny）来完成更严格的权限限制。下面这个 deny 策略的含义是，子用户发起下载对象请求时，若没有携带 versionid 参数，或 versionid 的版本号不是 “MTg0NDUxNTc1NjIzMTQ1MDAwODg”，这个请求将被拒绝。由于 deny 的优先级高于其他策略，因此添加显式拒绝可以最高程度的避免权限漏洞。
{
    "statement":[
        {
            "principal":{
                "qcs":[
                    "qcs::cam::uin/100000000001:uin/100000000002"
                ]
            },
            "effect":"allow",
            "action":[
                "name/cos:GetObject"
            ],
            "condition":{
                "string_equal":{
                    "cos:versionid":"MTg0NDUxNTc1NjIzMTQ1MDAwODg"
                }
            },
            "resource":[
                "qcs::cos:ap-guangzhou:uid/1250000000:examplebucket-1250000000/*"
            ]
        },
        {
            "principal":{
                "qcs":[
                    "qcs::cam::uin/100000000001:uin/100000000002"
                ]
            },
            "effect":"deny",
            "action":[
                "name/cos:GetObject"
            ],
            "condition":{
                "string_not_equal_if_exist":{
                    "cos:versionid":"MTg0NDUxNTc1NjIzMTQ1MDAwODg"
                }
            },
            "resource":[
                "qcs::cos:ap-guangzhou:uid/1250000000:examplebucket-1250000000/*"
            ]
        }
    ],
    "version":"2.0"
}
示例2：只允许用户获取最新版本的对象
假设主账号（uin:100000000001）拥有存储桶 examplebucket-1250000000，需要限制其子用户（uin:100000000002）只能获取最新版本的对象。
由于在不携带请求参数 versionid 或 versionid 为空字符串时，GetObject 默认获取最新版本的对象。因此，我们可以在条件中使用 string_equal_if_exsit：
1. 若不携带 versionid，默认按照 true 处理，命中 allow 条件，请求将被 allow。
2. 若请求参数 versionid 为空，即 “”，同样会命中 allow 策略，只对获取最新版本的对象的请求进行授权。
 "condition": {
     "string_equal_if_exist": {
         "cos:versionid": ""
     }
 }
添加显式拒绝后，完整的存储桶策略如下所示：
{
 "statement":[
     {
         "principal":{
             "qcs":[
                 "qcs::cam::uin/100000000001:uin/100000000002"
             ]
         },
         "effect":"allow",
         "action":[
             "name/cos:GetObject"
         ],
         "condition":{
             "string_equal_if_exist":{
                 "cos:versionid":""
             }
         },
         "resource":[
             "qcs::cos:ap-guangzhou:uid/1250000000:examplebucket-1250000000/*"
         ]
     },
     {
         "principal":{
             "qcs":[
                 "qcs::cam::uin/100000000001:uin/100000000002"
             ]
         },
         "effect":"deny",
         "action":[
             "name/cos:GetObject"
         ],
         "condition":{
             "string_not_equal":{
                 "cos:versionid":""
             }
         },
         "resource":[
             "qcs::cos:ap-guangzhou:uid/1250000000:examplebucket-1250000000/*"
         ]
     }
 ],
 "version":"2.0"
}
示例3：不允许用户删除开启版本控制前上传的对象
在开启版本控制前，您的存储桶中可能已上传了一部分对象，这些对象的版本号为“null”。有时候，您需要对这些对象开启额外的保护，例如，禁止用户对这些对象进行永久删除操作，也就是拒绝带版本号的删除操作。
下面这个存储桶策略示例，包含了两个策略：
1. 授权子用户使用 DeleteObject 请求删除存储桶中的对象。
2. 对 DeleteObject 请求的生效条件做了限制。当 DeleteObject 请求携带了请求参数 versionid，且 versionid 为"null"时，拒绝这个 DeleteObject 请求。
由此，若存储桶 examplebucket-1250000000中先上传了对象 A，随后存储桶开启了版本控制，此时对象 A 的版本号为字符串"null"。
添加了这个存储桶策略后，对象 A 将被保护起来。对于子用户针对对象 A  发起的 DeleteObject 请求，若请求不带版本号，由于开启了版本控制，对象 A 本身不会被永久删除，而只会被打上删除标记；若请求携带了 A 的版本号"null"，这个请求将被拒绝，保护对象 A 不被永久删除。
{
    "statement":[
        {
            "principal":{
                "qcs":[
                    "qcs::cam::uin/100000000001:uin/100000000002"
                ]
            },
            "effect":"allow",
            "action":[
                "name/cos:DeleteObject"
            ],
            "resource":[
                "qcs::cos:ap-guangzhou:uid/1250000000:examplebucket-1250000000/*"
            ]
        },
        {
            "principal":{
                "qcs":[
                    "qcs::cam::uin/100000000001:uin/100000000002"
                ]
            },
            "effect":"deny",
            "action":[
                "name/cos:DeleteObject"
            ],
            "condition":{
                "string_equal":{
                    "cos:versionid":"null"
                }
            },
            "resource":[
                "qcs::cos:ap-guangzhou:uid/1250000000:examplebucket-1250000000/*"
            ]
        }
    ],
    "version":"2.0"
}
限制上传文件的大小（cos:content-length）
请求头部 Content-Length
RFC 2616中定义的 HTTP 请求内容长度（字节），在 PUT 和 POST 请求中经常使用。详情请参见 请求头部列表。
条件键 cos:content-length
上传对象时，可以通过条件键 cos:content-length 限制请求头部 Content-Length，进而限制上传对象的文件大小，以方便您更加灵活管理存储空间，避免上传过大、过小文件浪费存储空间与网络带宽。
在下面两个示例中，假设主账号（uin:100000000001）拥有存储桶 examplebucket-1250000000，可以通过 cos:content-length条件键限制子用户（uin:100000000002）上传请求的 Content-Length 头的大小。
示例1: 限制请求头部 Content-Length 的最大值
限制 PutObject 和 PostObject 上传请求必须携带 Content-Length 头部，且这个头部的值不得大于10字节。
{
    "version":"2.0",
    "statement":[
        {
            "principal":{
                "qcs":[
                    "qcs::cam::uin/100000000001:uin/100000000002"
                ]
            },
            "effect":"allow",
            "action":[
                "name/cos:PutObject",
                "name/cos:PostObject"
            ],
            "resource":[
                "qcs::cos:ap-guangzhou:uid/1250000000:examplebucket-1250000000/*"
            ],
            "condition":{
                "numeric_less_than_equal":{
                    "cos:content-length":10
                }
            }
        },
        {
            "principal":{
                "qcs":[
                    "qcs::cam::uin/100000000001:uin/100000000002"
                ]
            },
            "effect":"deny",
            "action":[
                "name/cos:PutObject",
                "name/cos:PostObject"
            ],
            "resource":[
                "qcs::cos:ap-guangzhou:uid/1250000000:examplebucket-1250000000/*"
            ],
            "condition":{
                "numeric_greater_than_if_exist":{
                    "cos:content-length":10
                }
            }
        }
    ]
}
示例2: 限制请求头部 Content-Length 的最小值
限制 PutObject 和 PostObject 上传请求的必须携带 Content-Length 头部，且 Content-Length 的值不得小于2字节。
{
    "version":"2.0",
    "statement":[
        {
            "principal":{
                "qcs":[
                    "qcs::cam::uin/100000000001:uin/100000000002"
                ]
            },
            "effect":"allow",
            "action":[
                "name/cos:PutObject",
                "name/cos:PostObject"
            ],
            "resource":[
                "qcs::cos:ap-guangzhou:uid/1250000000:examplebucket-1250000000/*"
            ],
            "condition":{
                "numeric_greater_than_equal":{
                    "cos:content-length":2
                }
            }
        },
        {
            "principal":{
                "qcs":[
                    "qcs::cam::uin/100000000001:uin/100000000002"
                ]
            },
            "effect":"deny",
            "action":[
                "name/cos:PutObject",
                "name/cos:PostObject"
            ],
            "resource":[
                "qcs::cos:ap-guangzhou:uid/1250000000:examplebucket-1250000000/*"
            ],
            "condition":{
                "numeric_less_than_if_exist":{
                    "cos:content-length":2
                }
            }
        }
    ]
}
限制上传文件的类型（cos:content-type）
请求头部 Content-Type
RFC 2616中定义的 HTTP 请求内容类型（MIME），例如 application/xml 或 image/jpeg，详情请参见 请求头部列表。
条件键 cos:content-type
使用条件键 cos:content-type 可以对请求的 Content-Type 头部进行限制。
示例1: 限定上传对象（PutObject）的 Content-Type 必须为 “image/jpeg”
假设主账号（uin:100000000001）拥有存储桶 examplebucket-1250000000，可以通过 cos:content-type 条件键限制子用户（uin:100000000002）上传请求的 Content-Type 头的具体内容。
下面这个存储桶策略的含义是：限制使用 PutObject 上传对象必须携带 Content-Type 头部，且 Content-Type 的值为“image/jpeg”。
需要注意的是，string_equal 要求请求必须携带 Content-Type 头部，且 Content-Type 的值必须与规定值完全一致。在实际请求中，您需要明确指定请求的 Content-Type 头部。否则，当您的请求不携带 Content-Type 头部时，请求将会失败；此外，当您使用某些工具发起请求，并未明确指定 Content-Type 时，工具可能会为您自动添加不符合预期的 Content-Type 头部，也可能导致请求失败。
{
    "version":"2.0",
    "statement":[
        {
            "principal":{
                "qcs":[
                    "qcs::cam::uin/100000000001:uin/100000000002"
                ]
            },
            "effect":"allow",
            "action":[
                "name/cos:PutObject"
            ],
            "resource":[
                "qcs::cos:ap-guangzhou:uid/1250000000:examplebucket-1250000000/*"
            ],
            "condition":{
                "string_equal":{
                    "cos:content-type":"image/jpeg"
                }
            }
        },
        {
            "principal":{
                "qcs":[
                    "qcs::cam::uin/100000000001:uin/100000000002"
                ]
            },
            "effect":"deny",
            "action":[
                "name/cos:PutObject"
            ],
            "resource":[
                "qcs::cos:ap-guangzhou:uid/1250000000:examplebucket-1250000000/*"
            ],
            "condition":{
                "string_not_equal_if_exist":{
                    "cos:content-type":"image/jpeg"
                }
            }
        }
    ]
}
限制下载请求返回的文件类型（cos:response-content-type）
请求参数 response-content-type
GetObject 接口支持加入请求参数 response-content-type，用于设置响应中 Content-Type 头部的值。
条件键 cos:response-content-type
使用条件键 cos:response-content-type，您可以对请求的是否必须携带请求参数 response-content-type 参数值做限制。
示例1：限制 Get Object 的请求参数 response-content-type 必须为 “image/jpeg”
假设主账号（uin:100000000001）拥有存储桶 examplebucket-1250000000，以下存储桶策略的含义是，限制子用户（uin:100000000002）的 Get Object 请求必须携带请求参数 response-content-type，且请求参数值必须为“image/jpeg”,由于 response-content-type 是请求参数，发起请求时需要经过 urlencode，即 response-content-type=image%2Fjpeg,所以在设置 Policy 时，“image/jpeg”也需要经过 urlencode 填写"image%2Fjpeg"。
{
    "version":"2.0",
    "statement":[
        {
            "principal":{
                "qcs":[
                    "qcs::cam::uin/100000000001:uin/100000000002"
                ]
            },
            "effect":"allow",
            "action":[
                "name/cos:GetObject"
            ],
            "resource":[
                "qcs::cos:ap-guangzhou:uid/1250000000:examplebucket-1250000000/*"
            ],
            "condition":{
                "string_equal":{
                    "cos:response-content-type":"image%2Fjpeg"
                }
            }
        },
        {
            "principal":{
                "qcs":[
                    "qcs::cam::uin/100000000001:uin/100000000002"
                ]
            },
            "effect":"deny",
            "action":[
                "name/cos:GetObject"
            ],
            "resource":[
                "qcs::cos:ap-guangzhou:uid/1250000000:examplebucket-1250000000/*"
            ],
            "condition":{
                "string_not_equal_if_exist":{
                    "cos:response-content-type":"image%2Fjpeg"
                }
            }
        }
    ]
}
只允许使用了 HTTPS 协议的请求通过（cos:secure-transport）
条件键 cos:secure-transport
您可以使用条件键 cos:secure-transport 限制请求必须使用 HTTPS 协议
示例1：下载请求需要使用 HTTPS 协议
假设主账号（uin:100000000001）拥有存储桶 examplebucket-1250000000，以下存储桶策略的含义表示仅对由子用户（uin:100000000002）使用了 HTTPS 协议的 GetObject 请求进行授权。
{
    "version":"2.0",
    "statement":[
        {
            "principal":{
                "qcs":[
                    "qcs::cam::uin/100000000001:uin/100000000002"
                ]
            },
            "effect":"allow",
            "action":[
                "name/cos:GetObject"
            ],
            "resource":[
                "qcs::cos:ap-guangzhou:uid/1250000000:examplebucket-1250000000/*"
            ],
            "condition":{
                "bool_equal":{
                    "cos:secure-transport":"true"
                }
            }
        }
    ]
}
示例2：拒绝任何不使用 HTTPS 协议的请求
假设主账号（uin:100000000001）拥有存储桶 examplebucket-1250000000，以下存储桶策略的含义表示拒绝子用户（uin:100000000002）任何不使用 HTTPS 协议的请求。
{
    "version":"2.0",
    "statement":[
        {
            "principal":{
                "qcs":[
                    "qcs::cam::uin/100000000001:uin/100000000002"
                ]
            },
            "effect":"deny",
            "action":[
                "*"
            ],
            "resource":[
                "qcs::cos:ap-guangzhou:uid/1250000000:examplebucket-1250000000/*"
            ],
            "condition":{
                "bool_equal":{
                    "cos:secure-transport":"false"
                }
            }
        }
    ]
}
只允许设置指定的存储类型（cos:x-cos-storage-class）
请求头部 x-cos-storage-class
用户可以通过请求头部 x-cos-storage-class 在上传对象时指定存储类型或修改对象的存储类型。
条件键 cos:x-cos-storage-class
您可以通过条件键 cos:x-cos-storage-class 限制请求头部 x-cos-storage-class，进而限制可能修改存储类型的请求。
COS 的存储类型字段包括：STANDARD、MAZ_STANDARD, STANDARD_IA、MAZ_STANDARD_IA、INTELLIGENT_TIERING、MAZ_INTELLIGENT_TIERING、ARCHIVE、DEEP_ARCHIVE。
示例1：要求 PutObject 时必须将存储类型设置为标准类型
假设主账号（uin:100000000001）拥有存储桶 examplebucket-1250000000，通过存储桶策略策略，限制子账户（uin:100000000002）的 PutObject 请求必须携带 x-cos-storage-class 头部，并且头部值为 STANDARD。
{
    "version":"2.0",
    "statement":[
        {
            "principal":{
                "qcs":[
                    "qcs::cam::uin/100000000001:uin/100000000002"
                ]
            },
            "effect":"allow",
            "action":[
                "name/cos:PutObject"
            ],
            "resource":[
                "qcs::cos:ap-guangzhou:uid/1250000000:examplebucket-1250000000/*"
            ],
            "condition":{
                "string_equal":{
                    "cos:x-cos-storage-class":"STANDARD"
                }
            }
        },
        {
            "principal":{
                "qcs":[
                    "qcs::cam::uin/100000000001:uin/100000000002"
                ]
            },
            "effect":"deny",
            "action":[
                "name/cos:PutObject"
            ],
            "resource":[
                "qcs::cos:ap-guangzhou:uid/1250000000:examplebucket-1250000000/*"
            ],
            "condition":{
                "string_not_equal_if_exist":{
                    "cos:x-cos-storage-class":"STANDARD"
                }
            }
        }
    ]
}
只允许设置指定的存储桶/对象 ACL（cos:x-cos-acl）
请求头部 x-cos-acl
使用请求头部 x-cos-acl，您可以在上传对象、创建存储桶时指定访问控制列表（ACL），或修改对象、存储桶 ACL；关于 ACL 的相关介绍请参见 ACL概述。
存储桶的预设 ACL：private、public-read、public-read-write、authenticated-read。
对象的预设 ACL：default、private、public-read、authenticated-read、bucket-owner-read、bucket-owner-full-control。
条件键 cos:x-cos-acl
您可以通过条件键 cos:x-cos-acl 限制请求的头部 x-cos-acl，进而限制可能修改对象或存储桶 ACL 的请求。
示例1：PutObject 时必须同时将对象的 ACL 设置为私有的
假设主账号（uin:100000000001）拥有存储桶 examplebucket-1250000000，需要限制子用户（uin:100000000002）只能上传私有对象。以下策略要求发起 PutObject 请求必须携带 x-cos-acl 头部，并且头部值为 private。
{
    "version":"2.0",
    "statement":[
        {
            "principal":{
                "qcs":[
                    "qcs::cam::uin/100000000001:uin/100000000002"
                ]
            },
            "effect":"allow",
            "action":[
                "name/cos:PutObject"
            ],
            "resource":[
                "qcs::cos:ap-guangzhou:uid/1250000000:examplebucket-1250000000/*"
            ],
            "condition":{
                "string_equal":{
                    "cos:x-cos-acl":"private"
                }
            }
        },
        {
            "principal":{
                "qcs":[
                    "qcs::cam::uin/100000000001:uin/100000000002"
                ]
            },
            "effect":"deny",
            "action":[
                "name/cos:PutObject"
            ],
            "resource":[
                "qcs::cos:ap-guangzhou:uid/1250000000:examplebucket-1250000000/*"
            ],
            "condition":{
                "string_not_equal_if_exist":{
                    "cos:x-cos-acl":"private"
                }
            }
        }
    ]
}
只允许列出指定目录下的对象（cos:prefix）
条件键 cos:prefix
您可以通过条件键 cos:prefix 限制请求参数 prefix。
注意
 prefix 的值若为特殊字符（中文、/ 等），写入存储桶策略前需要先经过 urlencode。
示例1：只允许列出存储桶指定目录下的对象
假设主账号（uin:100000000001）拥有存储桶 examplebucket-1250000000，需要限制子用户（uin:100000000002）只可列出存储桶 folder1 目录下的对象。以下存储桶策略规定，子用户发起 GetBucket 请求必须携带 prefix 参数，且值为“folder1”。
{
    "statement":[
        {
            "principal":{
                "qcs":[
                    "qcs::cam::uin/100000000001:uin/100000000002"
                ]
            },
            "effect":"allow",
            "action":[
                "name/cos:GetBucket"
            ],
            "resource":[
                "qcs::cos:ap-guangzhou:uid/1250000000:examplebucket-1250000000/*"
            ],
            "condition":{
                "string_equal":{
                    "cos:prefix":"folder1"
                }
            }
        },
        {
            "principal":{
                "qcs":[
                    "qcs::cam::uin/100000000001:uin/100000000002"
                ]
            },
            "effect":"deny",
            "action":[
                "name/cos:GetBucket"
            ],
            "resource":[
                "qcs::cos:ap-guangzhou:uid/1250000000:examplebucket-1250000000/*"
            ],
            "condition":{
                "string_equal_if_exist":{
                    "cos:prefix":"folder1"
                }
            }
        }
    ],
    "version":"2.0"
}
只允许使用指定版本的 TLS 协议（cos:tls-version）
条件键 cos:tls-version
您可以通过条件键 cos:tls-version 限制 HTTPS 请求的 TLS 版本，该条件键为 Numric 类型，支持输入浮点数，例如 1.0、1.1、1.2 等。
示例1：仅对 TLS 协议版本为1.2的 HTTPS 请求进行授权
请求场景
预期
HTTPS 请求，TLS 版本为1.0
403，失败
HTTPS 请求，TLS 版本为1.2
200，成功
策略示例如下：
{
    "version":"2.0",
    "statement":[
        {
            "principal":{
                "qcs":[
                    "qcs::cam::uin/100000000001:uin/100000000002"
                ]
            },
            "effect":"allow",
            "action":[
                "*"
            ],
            "resource":[
                "qcs::cos:ap-guangzhou:uid/1250000000:examplebucket-1250000000/*"
            ],
            "condition":{
                "numeric_equal":{
                    "cos:tls-version":1.2
                }
            }
        }
    ]
}
示例2：拒绝 TLS 协议版本小于1.2的 HTTPS 请求
请求场景
预期
HTTPS 请求，TLS 版本为1.0
403，失败
HTTPS 请求，TLS 版本为1.2
200，成功
策略示例如下：
{
    "version":"2.0",
    "statement":[
        {
            "principal":{
                "qcs":[
                    "qcs::cam::uin/100000000001:uin/100000000002"
                ]
            },
            "effect":"allow",
            "action":[
                "*"
            ],
            "resource":[
                "qcs::cos:ap-guangzhou:uid/1250000000:examplebucket-1250000000/*"
            ],
            "condition":{
                "numeric_greater_than_equal":{
                    "cos:tls-version":1.2
                }
            }
        },
        {
            "principal":{
                "qcs":[
                    "qcs::cam::uin/100000000001:uin/100000000002"
                ]
            },
            "effect":"deny",
            "action":[
                "*"
            ],
            "resource":[
                "qcs::cos:ap-guangzhou:uid/1250000000:examplebucket-1250000000/*"
            ],
            "condition":{
                "numeric_less_than_if_exist":{
                    "cos:tls-version":1.2
                }
            }
        }
    ]
}
创建存储桶时强制设置指定存储桶标签（qcs:request_tag）
说明：
条件键 request_tag 仅适用于 PutBucket、PutBucketTagging 操作。GetService、PutObject、PutObjectTagging 等操作不支持本条件键。
条件键 qcs:request_tag
您可以通过条件键 qcs:request_tag 限制用户发起请求 PutBucket、PutBucketTagging 必须携带指定的存储桶标签。
示例：限制用户创建存储桶时必须携带指定的存储桶标签
许多用户会通过存储桶标签管理存储桶，下面的策略示例为：限制用户只有在创建存储桶时，必须设置指定的存储桶标签 <a,b> 和 <c,d>，才能获得授权。
存储桶标签可以设置多个，存储桶标签键值、标签数量不同都会作为不同集合。假设用户携带的多个参数值为集合 A，条件规定的多个参数值为集合 B。在使用该条件键，可以通过限定词 for_any_value、for_all_value 的不同组合表示不同的含义。
for_any_value:string_equal 表示 A 和 B 存在交集时生效。
for_all_value:string_equal 表示 A 是 B 的子集时生效。
当使用 for_any_value:string_equal 时，对应的策略和请求表现如下：
请求场景
预期
PutBucket，请求头部 x-cos-tagging: a=b&c=d
200，成功
PutBucket，请求头部 x-cos-tagging: a=b
200，成功
PutBucket，请求头部 x-cos-tagging: a=b&c=d&e=f
200，成功
策略示例如下：
{
    "version": "2.0",
    "statement": [
        {
            "principal": {
                "qcs": [
                    "qcs::cam::uin/100000000001:uin/100000000002"
                ]
            },
            "effect": "allow",
            "action": [
                "name/cos:PutBucket"
            ],
            "resource": "*",
            "condition": {
                "for_any_value:string_equal": {
                    "qcs:request_tag": [
                        "a&b",
                        "c&d"
                    ]
                }
            }
        }
    ]
}
当使用 for_all_value:string_equal 时，对应的策略和请求表现如下：
请求场景
预期
PutBucket，请求头部 x-cos-tagging: a=b&c=d
200，成功
PutBucket，请求头部 x-cos-tagging: a=b
200，成功
PutBucket，请求头部 x-cos-tagging: a=b&c=d&e=f
403，失败
策略示例如下：
{
    "version": "2.0",
    "statement": [
        {
            "principal": {
                "qcs": [
                    "qcs::cam::uin/100000000001:uin/100000000002"
                ]
            },
            "effect": "allow",
            "action": [
                "name/cos:PutBucket"
            ],
            "resource": "*",
            "condition": {
                "for_all_value:string_equal": {
                    "qcs:request_tag": [
                        "a&b",
                        "c&d"
                    ]
                }
            }
        }
    ]
}
﻿
联系我们
联系我们，为您的业务提供专属服务。
技术支持
如果你想寻求进一步的帮助，通过工单与我们进行联络。我们提供7x24的工单服务。
7x24 电话支持
请求场景	预期
HTTPS 请求，TLS 版本为1.0	403，失败
HTTPS 请求，TLS 版本为1.2	200，成功
请求场景	预期
PutBucket，请求头部 `x-cos-tagging: a=b&c=d`	200，成功
PutBucket，请求头部 `x-cos-tagging: a=b`	200，成功
PutBucket，请求头部 `x-cos-tagging: a=b&c=d&e=f`	200，成功
tencent cloud

注册

登录

Recent Pages

条件键说明及使用示例

条件键使用示例

限制用户访问 IP（qcs:ip）

条件键 qcs:ip

示例：只允许指定 IP 来源的用户访问

限制 vpcid（vpc:requester_vpc）

条件键 vpc:requester_vpc

示例：限制 vpcid 为 aqp5jrc1

只允许访问对象的最新版本或者指定版本（cos:versionid）

请求参数 versionid

条件键 cos:versionid

示例1：只允许用户获取指定版本号的对象

添加显式拒绝

示例2：只允许用户获取最新版本的对象

示例3：不允许用户删除开启版本控制前上传的对象

限制上传文件的大小（cos:content-length）

请求头部 Content-Length

条件键 cos:content-length

示例1: 限制请求头部 Content-Length 的最大值

示例2: 限制请求头部 Content-Length 的最小值

限制上传文件的类型（cos:content-type）

请求头部 Content-Type

条件键 cos:content-type

示例1: 限定上传对象（PutObject）的 Content-Type 必须为 “image/jpeg”

限制下载请求返回的文件类型（cos:response-content-type）

请求参数 response-content-type

条件键 cos:response-content-type

示例1：限制 Get Object 的请求参数 response-content-type 必须为 “image/jpeg”

只允许使用了 HTTPS 协议的请求通过（cos:secure-transport）

条件键 cos:secure-transport

示例1：下载请求需要使用 HTTPS 协议

示例2：拒绝任何不使用 HTTPS 协议的请求

只允许设置指定的存储类型（cos:x-cos-storage-class）

请求头部 x-cos-storage-class

条件键 cos:x-cos-storage-class

示例1：要求 PutObject 时必须将存储类型设置为标准类型

只允许设置指定的存储桶/对象 ACL（cos:x-cos-acl）

请求头部 x-cos-acl

条件键 cos:x-cos-acl

示例1：PutObject 时必须同时将对象的 ACL 设置为私有的

只允许列出指定目录下的对象（cos:prefix）

条件键 cos:prefix

示例1：只允许列出存储桶指定目录下的对象

只允许使用指定版本的 TLS 协议（cos:tls-version）

条件键 cos:tls-version

示例1：仅对 TLS 协议版本为1.2的 HTTPS 请求进行授权

示例2：拒绝 TLS 协议版本小于1.2的 HTTPS 请求

创建存储桶时强制设置指定存储桶标签（qcs:request_tag）

条件键 qcs:request_tag

示例：限制用户创建存储桶时必须携带指定的存储桶标签

本页内容是否解决了您的问题？

本页内容是否解决了您的问题？
