KDDIクラウドプラットフォームサービス ナレッジサイト

  • HOME
  • 開発者ガイドブック(APIリファレンス)
  • オブジェクトストレージ
  • ACLについて

ACLについて

Grantee

有効なGrantee

  • CanonicalGrantee
  • GroupGrantee.AllUsers
    • KCPSオブジェクトストレージでは、同一IP範囲からのみResource URLへの署名なしリクエストを許可します。
    • AmazonS3Client#getResourceUrl() 参照

無効なGrantee

  • EmailAddressGrantee
    • ユーザーアカウント情報にEmailAddressが存在しないため、有効なパラメタが存在しません。
  • GroupGrantee.AuthenticatedUsers
    • awsでの効果としては「全AWSアカウント保持者の署名ありリクエストを許可する」ですが、下記を理由に効果を示しません。
    • KCPSオブジェクトストレージではIPアクセス制限を行っているため、「範囲外」からのアクセスは存在しません。
  • GroupGrantee.LogDelivery
    • KCPSオブジェクトストレージではbucket loggingをサポートしません。

Canned Object ACL

  • KCPSオブジェクトストレージでは、bucket ownerとobject ownerは同一です。
  • 各項目下のテーブルは、canned aclが適用しようとするGrant Listです。

有効なcanned acl

private (default)

role acl
object owner full_control

public-read

role acl
object owner full_control
AllUsers read

無効なcanned acl

public-read-write

  • group:AllUsers , permission:write は仕様により付与不可です。
role acl
object owner full_control
AllUsers read
AllUsers write

authenticated-read

  • group:AuthenticatedUser , permission:read はサービス仕様により有効な結果をもたらしません。
role acl
object owner full_control
Authenticated read

bucket-owner-read

  • 400 Invalid canned ACL が発生して付与不可です。
  • 個別にGrantしてもowner:readは付与不可です。
role acl
object owner full_control
object owner read

bucket-owner-full-control

  • 400 Invalid canned ACL が発生して付与不可です。
role acl
object owner full_control
object owner full_control

log-delivery-write

  • KCPSオブジェクトストレージはバケットに対するACL操作をサポートしません。
2024/03/28 2024/03/28