ACL

围的条件键）。另请注意SourceIp值使用RFC 4632中描述的CIDR表示法。

{ "Statement": [

"Resource": "examplebucket/*", "Condition": {

"IpAddress": {"SourceIp": "192.168.0.0/24"}, "NotIpAddress": {"SourceIp": "192.168.0.1/32"}

} } ]}

2.3 ACL

访问控制列表（Access Control List，ACL）是一个指定被授权者和所授予权限的授权 列表。

● 桶创建时可以携带ACL，也可以创建成功后设置ACL；对象上传时可以携带ACL，

也可以上传成功后再单独设置。

OBS ACL是基于帐号级别的读写权限控制，权限控制细粒度不如桶策略和IAM权限。

一般情况下，建议使用IAM权限和桶策略进行访问控制。

OBS支持通过ACL对表2-6所示用户或用户组授予桶的访问权限。

权限配置指南 2 权限控制方式介绍

表2-6 OBS 支持的被授权用户

权限 选项 描述

写入权限 此权限可以更新对应桶的权限控制列表。

桶的拥有者默认永远具有ACL的写入权限。

对象ACL的访问权限如表2-8所示：

表2-8 对象 ACL 访问权限

权限 选项 描述

对象访问权限 读取权限 此权限可以获取该对象内容和元数据。

ACL访问权限 读取权限 此权限可以获取对应的对象的权限控制列表。

对象的拥有者默认永远具有ACL的读取权限 写入权限 此权限可以更新对象的权限控制列表。

对象的拥有者默认永远具有ACL的写入权限。

说明

每一次对桶/对象的授权操作都将覆盖桶/对象已有的权限列表，而不会对其新增权限。

桶 ACL 应用场景

在以下场景，建议您使用桶ACL：

● 授予指定帐号桶读取权限和桶写入权限，用以共享桶数据或挂载外部桶。比如，

帐号A授予帐号B桶读取权限及桶写入权限后，帐号B就可以通过OBS Browser+挂 载外部桶、API&SDK等方式访问到该桶。

● 授予日志投递用户组桶写入权限，用以存储桶访问请求日志。

对象 ACL 应用场景

在以下场景，建议您使用对象ACL：

● 需要对象级的访问权限控制时。桶策略可以授予对象或对象集访问权限，当授予 一个对象集权限后，想对对象集中某一个对象再进行单独授权，通过配置桶策略 的方法显然不太实际。此时建议使用对象ACL，使得单个对象的权限控制更加方 便。

● 使用对象链接访问对象时。一般使用对象ACL，将某一个对象通过对象链接开放 给匿名用户进行读取操作。

使用头域设置 ACL

权限控制策略

OBS支持在创建桶或上传对象时通过头域设置桶或对象的权限控制策略（使用示例见 创桶请求示例，对象上传请求示例），其设置的权限控制策略只能选择预定义的几种

权限配置指南 2 权限控制方式介绍

策略。其中，x-obs-acl比较特殊，可以设置六种权限，这六种权限对桶或对象的

private 桶或对象的所有者拥有完全控制的权限，其他任何人都没有 访问权限

public-read 设在桶上，所有人可以获取该桶内对象列表、桶内多段任 务、桶的元数据、桶的多版本。

设在对象上，所有人可以获取该对象内容和元数据。

public-read-write 设在桶上，所有人可以获取该桶内对象列表、桶内多段任 务、桶的元数据、桶的多版本、上传对象删除对象、初始化 段任务、上传段、合并段、拷贝段、取消多段上传任务。

设在对象上，所有人可以获取该对象内容和元数据。

public-read-delivered 设在桶上，所有人可以获取该桶内对象列表、桶内多段任 务、桶的元数据、桶的多版本，可以获取该桶内对象的内容 和元数据。

不能应用在对象上。

public-read-write-delivered 设在桶上，所有人可以获取该桶内对象列表、桶内多段任 务、桶的元数据、桶的多版本、上传对象删除对象、初始化 段任务、上传段、合并段、拷贝段、取消多段上传任务，可 以获取该桶内对象的内容和元数据。

不能应用在对象上。

bucket-owner-full-control 设在对象上，桶或对象的所有者拥有完全控制的权限，其他 任何人都没有访问权限。

x-obs-grant-read 授权给指定domain下的所有用户有READ权限。

x-obs-grant-write 授权给指定domain下的所有用户有WRITE权限。

x-obs-grant-read-acp 授权给指定domain下的所有用户有READ_ACP权限。

x-obs-grant-write-acp 授权给指定domain下的所有用户有WRITE_ACP权限。

头域 含义

x-obs-grant-full-control 授权给指定domain下的所有用户有FULL_CONTROL权限。

x-obs-grant-read-delivered 授权给指定domain下的所有用户有对桶和桶内对象的READ权 限，且对象继承桶权限。

不能应用在对象上。

x-obs-grant-

full-control- delivered 授权给指定domain下的所有用户有对桶和桶内对象的 FULL_CONTROL权限，且对象继承桶权限。

不能应用在对象上。

权限配置指南 2 权限控制方式介绍

3 ^{请求方式介绍}

3.1 通过永久访问密钥访问OBS