开发指南

本文主要面向新浪云存储服务的开发者,开发者可通过此文学习如何使用新浪云存储进行开发

ACL

新浪云存储ACL(Access Control List,即:访问控制列表)在计算机文件系统中体现为附加在一个object上的权限列表;用户可以通过ACL指定哪些用户、组或系统进程可被授予object的访问权限,以及允许在object上进行哪些操作。

ACL功能

云存储ACL具备以下功能:

  • 身份验证:

    新浪云存储的开发者可根据AccessKey和SecureKey对本次请求进行签名,ACL根据签名来判断当前发起请求的用户的身份。

  • 权限管理与校验:

    新浪云存储用户可通过ACL来管理bucket和object的访问控制权限,管理方式即设置bucket policy和object policy。通过设置policy可允许云存储的注册用户将资源(bucket和object)的访问和控制权限开放给其他用户。

    新浪云存储用户可以是:

    • 云存储注册用户
    • 匿名用户
    • 其他用户系统中的用户, 通过签名方式灵活指定

    policy的功能说明:

    • bucket policy:可通过对bucket的权限设置实现粗粒度的权限控制;
    • object policy:则是针对单个文件进行权限控制。


ACL基本概念

名称 含义 描述
Policy 权限 用户通过Policy来管理云存储内资源访问权限;
Policy可以由一条或多条策略组成;
Policy之间相互独立。
Owner 资源的拥有者 创建bucket或object时,ACL在policy中设置的Owner信息;
Owner与Bucket、Object绑定,不可被修改,对用户透明;
Owner具备Bucket、Object的root权限,可以进行任何操作;
ACL通过签名信息来判断当前发起请求的用户是不是Owner。
Requester 请求者 Requester即发起Http Request的云存储使用者。
Group 被授权的组 用户可以设置特定组内的用户对所属资源的访问权限。指定本条权限是针对哪个用户组。
User 被授权的人 指定本条权限是针对哪个用户。
Grantee 的授权的人或者组 Grantee可以是User,也可以是Group。
Grant 授予何种权限 例如:授权A用户对资源只读;授权B用户对资源有读写权限;

Grantee是谁?

Grantee可以是一个云存储中的注册用户,用UserId标示, 例如:SINA0000001001HBK388

Grantee还可以是一个新浪云存储预定义的用户组,有如下两种:

  • GRPS0000000CANONICAL:此组表示所有的新浪云存储注册帐户。所有的请求必须签名(认证),如果签名认证通过,即可按照已设置的权限规则进行访问。
  • GRPS000000ANONYMOUSE:匿名用户组,对应的请求可以不带签名。例如:把资源/bucket_name/file.txt对GRPS000000ANONYMOUSE设置为只读,则任何人不用签名就可以进行下载。
  • SINA000000000000IMGX:图片处理服务,将您的bucket的ACL设置为对SINA000000000000IMGX的读写权限,在您使用图片处理服务的时候可以免签名。

Grant包括什么?

下表列出了可以给资源(bucket或者object)授予的权限:

权限 被作用于Bucket时 被作用于Object时
READ 允许Grantee列当前Bucket中的文件 允许Grantee下载文件、获取文件的Metadata
WRITE 允许Grantee在当前Bucket中创建、覆盖、删除任何Object 不适用
READ_ACP 允许Grantee读取当前Bucket的ACL信息 允许Grantee读取当前Object的ACL信息
WRITE_ACP 允许Grantee设置当前Bucket的ACL 允许Grantee设置当前Object的ACL
FULL_CONTROL FULL_CONTROL = READ + WRITE + READ_ACP + WRITE_ACP FULL_CONTROL = READ + WRITE + READ_ACP + WRITE_ACP

示例:

/*
  用户SINA0000000123456789有全部权限
  匿名用户只读
  认证用户读写
*/
{
	'SINA0000000123456789' :  [ "read", "read_acp" , "write", "write_acp" ],
	'GRPS000000ANONYMOUSE' :  [ "read" ],
	'GRPS0000000CANONICAL' :  [ "read", "write" ]
}

快捷ACL

当您通过HTTP请求创建资源(bucket或object)时,可以设置Request Header(请求头):x-amz-acl,创建资源的同时设置ACL。

快捷ACL 作用于 描述
private Bucket和Object Owner权限 = FULL_CONTROL,其他人没有任何权限
public-read Bucket和Object Owner权限 = FULL_CONTROLGRPS000000ANONYMOUSE权限 = READ
public-read-write Bucket和Object Owner权限 = FULL_CONTROLGRPS000000ANONYMOUSE权限 = READ + WRITE
authenticated-read Bucket和Object Owner权限 = FULL_CONTROLGRPS0000000CANONICAL权限 = READ

如何设置一个ACL?

设置ACL有两种方式:

  • 以上面示例中的JSON格式,通过调用PUT ACL接口对已有资源进行设置;
  • 通过快捷方式,在创建资源(bucket或object)时,可以设置Request Header(请求头):x-amz-acl,创建资源的同时设置ACL。

相关API,请参照API文档中的介绍。