如何在受版本控制的Bucket管理访问权限_对象存储(OSS)-阿里云帮助中心

本文介绍如何在受版本控制的存储空间（Bucket）中管理文件（Object）的访问权限（ACL）。

注意事项

本文示例代码以华东1（杭州）的地域IDcn-hangzhou为例，默认使用外网Endpoint，如果您希望通过与OSS同地域的其他阿里云产品访问OSS，请使用内网Endpoint。关于OSS支持的Region与Endpoint的对应关系，请参见OSS地域和访问域名。
要设置Object访问权限，您必须具有oss:PutObjectAcl权限；要获取Object访问权限，您必须具有oss:GetObjectAcl权限。具体操作，请参见为RAM用户授权自定义的权限策略。

读写权限类型

文件的访问权限（ACL）有以下四种：

访问权限	描述	访问权限值

访问权限	描述	访问权限值
继承Bucket	文件遵循存储空间的访问权限。	default
私有	文件的拥有者和授权用户有该文件的读写权限，其他用户没有权限操作该文件。	private
公共读	文件的拥有者和授权用户有该文件的读写权限，其他用户只有文件的读权限。请谨慎使用该权限。	public-read
公共读写	所有用户都有该文件的读写权限。请谨慎使用该权限。	public-read-write

文件的访问权限优先级高于存储空间的访问权限。例如存储空间的访问权限是私有，而文件的访问权限是公共读写，则所有用户都有该文件的读写权限。如果某个文件没有设置过访问权限，则遵循存储空间的访问权限。

示例代码

说明

PutObjectAcl默认设置Object当前版本的ACL权限。如果Object的当前版本是删除标记（Delete Marker），OSS将返回404 Not Found。请求参数中指定versionId可以设置指定Object版本的ACL权限。
GetObjectAcl默认获取Object当前版本的ACL权限。如果Object的当前版本是删除标记（Delete Marker），OSS将返回404 Not Found。请求参数中指定versionId可以获取指定Object版本的ACL权限。

您可以使用以下代码设置并获取文件的访问权限。

import argparse
import alibabacloud_oss_v2 as oss

# 创建一个命令行参数解析器，并描述脚本用途：设置对象ACL示例
parser = argparse.ArgumentParser(description="put object acl sample")

# 添加命令行参数 --region，表示存储空间所在的区域，必需参数
parser.add_argument('--region', help='The region in which the bucket is located.', required=True)
# 添加命令行参数 --bucket，表示存储空间的名称，必需参数
parser.add_argument('--bucket', help='The name of the bucket.', required=True)
# 添加命令行参数 --endpoint，表示其他服务可用来访问OSS的域名，非必需参数
parser.add_argument('--endpoint', help='The domain names that other services can use to access OSS')
# 添加命令行参数 --key，表示对象的名称，必需参数
parser.add_argument('--key', help='The name of the object.', required=True)
# 添加命令行参数 --acl，表示对象的访问控制列表（ACL），必需参数
parser.add_argument('--acl', help='Specify the access permission ACL for the object.', required=True)
# 添加命令行参数 --version_id，表示对象的版本ID，必需参数
parser.add_argument('--version_id', help='The version ID of the object.', required=True)

def main():
    # 解析命令行提供的参数，获取用户输入的值
    args = parser.parse_args()

    # 从环境变量中加载访问OSS所需的认证信息，用于身份验证
    credentials_provider = oss.credentials.EnvironmentVariableCredentialsProvider()

    # 使用SDK的默认配置创建配置对象，并设置认证提供者
    cfg = oss.config.load_default()
    cfg.credentials_provider = credentials_provider

    # 设置配置对象的区域属性，根据用户提供的命令行参数
    cfg.region = args.region

    # 如果提供了自定义endpoint，则更新配置对象中的endpoint属性
    if args.endpoint is not None:
        cfg.endpoint = args.endpoint

    # 使用上述配置初始化OSS客户端，准备与OSS交互
    client = oss.Client(cfg)

    # 发送请求以设置对象的ACL权限
    result = client.put_object_acl(oss.PutObjectAclRequest(
        bucket=args.bucket,           # 指定存储空间名称
        key=args.key,                 # 指定对象名称
        acl=args.acl,                 # 新的ACL值
        version_id=args.version_id,   # 指定对象版本ID
    ))

    # 打印设置ACL后的输出信息，包括状态码、请求ID和版本ID
    print(f'status code: {result.status_code},'
          f' request id: {result.request_id},'
          f' version id: {result.version_id},'
          )

    # 获取并打印当前对象的ACL设置
    result = client.get_object_acl(oss.GetObjectAclRequest(
        bucket=args.bucket,
        key=args.key,
        version_id=args.version_id
    ))

    # 打印获取到的对象ACL设置，包括状态码、请求ID、ACL和版本ID
    print(f'status code: {result.status_code},'
          f' request id: {result.request_id},'
          f' acl: {result.acl},'
          f' version id: {result.version_id},'
          )

# 当此脚本被直接执行时，调用main函数开始处理逻辑
if __name__ == "__main__":
    main()  # 脚本入口点，控制程序流程从这里开始