OSS提供了公共读写、公共读、私有读写以及默认权限共四种文件(Object)级别的访问权限(ACL)。本文介绍如何在受版本控制的存储空间(Bucket)中管理Object ACL。
注意事项
本文以华东1(杭州)外网Endpoint为例。如果您希望通过与OSS同地域的其他阿里云产品访问OSS,请使用内网Endpoint。关于OSS支持的Region与Endpoint的对应关系,请参见OSS访问域名、数据中心、开放端口。
本文以OSS域名新建OSSClient为例。如果您希望通过自定义域名、STS等方式新建OSSClient,请参见新建OssClient。
要设置Object访问权限,您必须具有
oss:PutObjectAcl
权限;要获取Object访问权限,您必须具有oss:GetObjectAcl
权限。具体操作,请参见为RAM用户授权自定义的权限策略。
Object ACL说明
Object ACL的四种访问权限含义如下:
权限值 | 中文名称 | 权限控制 |
public-read-write | 公共读写 | 该ACL表明某个Object是公共读写资源,即任何人(包括匿名访问)拥有该Object的读写权限。 |
public-read | 公共读,私有写 | 该ACL表明某个Object是公共读资源,即非Object Owner只有该Object的读权限,而Object Owner拥有该Object的读写权限。 |
private | 私有读写 | 该ACL表明某个Object是私有资源,即Object Owner拥有该Object的读写权限,其他人在未经授权的情况下无法访问该Object。 |
default | 默认权限 | 该ACL表明某个Object遵循Bucket的读写权限。 |
Object ACL优先于Object所属Bucket的ACL。例如Bucket ACL设置为(public-read),Object ACL设置为private,则只有Object Owner拥有该Object的读写权限,其他人在未经授权的情况下无法访问该Object。
设置Object ACL
调用putObjectAcl
方法默认设置Object当前版本的ACL权限。如果Object的当前版本是删除标记(Delete Marker),OSS将返回404 Not Found。请求参数中指定versionId可以设置指定Object版本的ACL权限。
以下代码用于设置Object ACL:
<?php
if (is_file(__DIR__ . '/../autoload.php')) {
require_once __DIR__ . '/../autoload.php';
}
if (is_file(__DIR__ . '/../vendor/autoload.php')) {
require_once __DIR__ . '/../vendor/autoload.php';
}
use OSS\Credentials\EnvironmentVariableCredentialsProvider;
use OSS\OssClient;
use OSS\CoreOssException;
// 从环境变量中获取访问凭证。运行本代码示例之前,请确保已设置环境变量OSS_ACCESS_KEY_ID和OSS_ACCESS_KEY_SECRET。
$provider = new EnvironmentVariableCredentialsProvider();
// Endpoint以杭州为例,其它Region请按实际情况填写。
$endpoint = "https://oss-cn-hangzhou.aliyuncs.com";
// 填写Bucket名称。
$bucket= "<yourBucketName>";
// 填写Object名称,即不包含Bucket名称在内的Object的完整路径,例如example/test.txt。
$object = "<yourObjectName>";
// 指定Object的版本Id。
$versionId = "<yourObjectVersionId>";
$config = array(
"provider" => $provider,
"endpoint" => $endpoint,
"signatureVersion" => OssClient::OSS_SIGNATURE_VERSION_V4,
"region"=> "cn-hangzhou"
);
$ossClient = new OssClient($config);
try {
// 设置指定版本Object的访问权限为公共读。
$ossClient->putObjectAcl($bucket, $object, 'public-read', array(OssClient::OSS_VERSION_ID => $versionId));
} catch (OssException $e) {
printf(__FUNCTION__ . ": FAILED\n");
printf($e->getMessage() . "\n");
return;
}
print(__FUNCTION__ . ": OK" . "\n");
有关设置Object ACL的更多信息,请参见PutObjectACL。
获取Object ACL
调用getObjectAcl
方法默认获取Object当前版本的ACL权限。如果Object的当前版本是删除标记(Delete Marker),OSS将返回404 Not Found。请求参数中指定versionId可以获取指定Object版本的ACL权限。
以下代码用于获取Object ACL:
<?php
if (is_file(__DIR__ . '/../autoload.php')) {
require_once __DIR__ . '/../autoload.php';
}
if (is_file(__DIR__ . '/../vendor/autoload.php')) {
require_once __DIR__ . '/../vendor/autoload.php';
}
use OSS\Credentials\EnvironmentVariableCredentialsProvider;
use OSS\OssClient;
use OSS\CoreOssException;
// 从环境变量中获取访问凭证。运行本代码示例之前,请确保已设置环境变量OSS_ACCESS_KEY_ID和OSS_ACCESS_KEY_SECRET。
$provider = new EnvironmentVariableCredentialsProvider();
// Endpoint以杭州为例,其它Region请按实际情况填写。
$endpoint = "https://oss-cn-hangzhou.aliyuncs.com";
// 填写Bucket名称。
$bucket= "<yourBucketName>";
// 填写Object名称,即不包含Bucket名称在内的Object的完整路径,例如example/test.txt。
$object = "<yourObjectName>";
// 指定Object的版本Id。
$versionId = "<yourObjectVersionId>";
$config = array(
"provider" => $provider,
"endpoint" => $endpoint,
"signatureVersion" => OssClient::OSS_SIGNATURE_VERSION_V4,
"region"=> "cn-hangzhou"
);
$ossClient = new OssClient($config);
try {
// 获取文件的访问权限。
$acl = $ossClient->getObjectAcl($bucket, $object, array(OssClient::OSS_VERSION_ID => $versionId));
printf($acl . "\n");
} catch (OssException $e) {
printf(__FUNCTION__ . ": FAILED\n");
printf($e->getMessage() . "\n");
return;
}
print(__FUNCTION__ . ": OK" . "\n");
有关获取Object ACL的更多信息,请参见GetObjectACL。