Stratus権限

# Stratus権限

### デフォルト権限テンプレート

2種類のデフォルト権限テンプレートのいずれかを使用してバケットを作成できます。

<br />

* **Authenticated権限テンプレート**: このデフォルト権限テンプレートを使用して作成されたバケットは、アプリケーションのクライアントポータルで認証されたユーザーのみがバケットのすべてのオブジェクトにアクセスできることを規定します。

* **Public権限テンプレート**: このデフォルト権限テンプレートを使用して作成されたバケットは、インターネット上のすべてのエンドユーザーが認証要件なしにバケットのオブジェクトにアクセスできるようにします。

{{%note%}}{{%bold%}}注意:{{%/bold%}}

* 両方の権限テンプレートは、{{%link href="/ja/cloud-scale/help/stratus/buckets/create-bucket/" %}}バケットを作成{{%/link%}}する際に選択する必要があるデフォルトタイプです。これらのテンプレートは編集可能で、バケットに保存された個々のオブジェクトの権限も編集できます。

* 設定された権限はプロジェクトユーザーにのみ適用され、コラボレーターには適用されません。

* これらの権限はエンドユーザーのアクセスレベルを定義するためのものであり、{{%italics%}}Collaborators{{%/italics%}}や{{%italics%}}Administrators{{%/italics%}}のためのものではありません。コラボレーターのアクセスレベルは{{%link href="/ja/getting-started/set-up-a-catalyst-project/profiles-and-permissions/" %}}Profiles & Permissions{{%/link%}}セクションで定義できます。

* 選択した権限テンプレートに関係なく、バケット内の{{%bold%}}upload{{%/bold%}}アクションは{{%bold%}}認証されたユーザー{{%/bold%}}のみが実行できます。{{%/note%}}

### カスタム権限

バケットを作成する際に、デフォルトの権限テンプレート（**Authenticated**または**Public**）を選択する必要があります。選択に基づいてデフォルトの権限テンプレートが読み込まれ、バケットが作成されます。これに加えて、選択した権限テンプレートに関係なく、シンプルなJSONコードを使用して**個々のオブジェクトごとの権限を定義**したり、サブディレクトリ全体の権限を定義したりできます。

<br />

選択に基づいて読み込まれるデフォルトの権限テンプレートを以下に示します：

#### デフォルトAuthenticated権限テンプレート

{{% panel_without_adjustment header="Authenticated Permission Template" class="language-json line-numbers"%}}{
    "rules": [
        {
            "rule_id": "AuthenticatedBucket_Rule1",
            "condition": {
                "user": {
                    "auth_type": "authenticated",
                    "zuid": "*"
                }
            },
            "allowed_actions": [
                "GetObject"
            ],
            "paths": [
                "vendorstats::/*"
            ],
            "effect": "allow"
        }
    ],
    "version": "v1"
}
{{%/panel_without_adjustment%}}

#### デフォルトPublic権限テンプレート

{{% panel_without_adjustment header="Authenticated Permission Template" class="language-json line-numbers"%}}{
    "rules": [
        {
            "rule_id": "PublicBucket",
            "condition": {
                "user": {
                    "auth_type": "public"
                }
            },
            "actions": [
                "GetObject"
            ],
            "paths": [
                "zylker-bucket-pubs::/*"
            ],
            "effect": "allow"
        }
    ],
    "version": "v1"
}
{{%/panel_without_adjustment%}}

両方の権限テンプレートを効果的に編集し、カスタム権限を使用するには、以下のJSONキーとその目的を理解する必要があります：

<table class="content-table">
	<thead>
		<tr>
			<th class="w30p">JSONキー名</th>
			<th class="w70p">目的</th>
		</tr>
	</thead>
	<tbody>
		<tr>
			<td>{{%badge%}}rules{{%/badge%}}</td>
			<td>
                <ul>
                    <li>権限を設定するJSONキーです</li>
                    <li>このキーには、バケット内のオブジェクトに対して定義するすべてのルールが含まれます</li>
                </ul>
            </td>
		</tr>
        <tr>
			<td>{{%badge%}}rule_id{{%/badge%}}</td>
			<td>
                <ul>
                    <li>定義するルールの名前を含む文字列です。</li>
                    <li>一意に識別できる方法でルールに名前を付ける必要があります。</li>
                </ul>
            </td>
		</tr>
        <tr>
			<td>{{%badge%}}effect{{%/badge%}}</td>
			<td>
                <ul>
                    <li>{{%bold%}}allow{{%/bold%}}または{{%bold%}}deny{{%/bold%}}の2つの値のみを入力できるキーです</li>
                    <li>値に基づいて、特定のユーザーにアクションの実行を{{%italics%}}allow{{%/italics%}}（許可）するか、特定のユーザーのアクションを{{%italics%}}deny{{%/italics%}}（拒否）するルールになります。</li>
                    <li>複数の設定された権限ステートメントの条件を満たすアクセス要求を受け取った場合、以下の動作が予想されます
                        <ul>
                            <li>一致するステートメントの1つでもeffectが{{%bold%}}deny{{%/bold%}}の場合、{{%badge%}}deny{{%/badge%}}がすべての{{%bold%}}allow{{%/bold%}}ステートメントを上書きします。</li>
                            <li>{{%bold%}}allow{{%/bold%}}のeffectを有効にするには、一致する条件を持つステートメントの{{%bold%}}少なくとも1つ{{%/bold%}}がeffectとして{{%badge%}}allow{{%/badge%}}を持ち、どのステートメントもeffectとして{{%bold%}}deny{{%/bold%}}を持っていない必要があります。</li>
                        </ul>
                    </li>
                </ul>
            </td>
		</tr>
        <tr>
			<td>{{%badge%}}allowed_actions{{%/badge%}}</td>
			<td>
                <ul>
                    <li>ユーザーがオブジェクトに対して実行できるアクションを定義するキーです。</li>
                    <li>許可されるアクションは以下のとおりです：
                        <ul>
                            <li>{{%badge%}}{{%bold%}}GetObject{{%/bold%}}{{%/badge%}}: オブジェクトデータを取得する</li>
                            <li>{{%badge%}}{{%bold%}}PutObject{{%/bold%}}{{%/badge%}}: オブジェクトデータを作成、書き込み、更新する</li>
                            <li>{{%badge%}}{{%bold%}}DeleteObject{{%/bold%}}{{%/badge%}}: オブジェクトデータを削除する</li>
                        </ul>
                    </li>
                </ul> 
            </td>
		</tr>
        <tr>
			<td>{{%badge%}}paths{{%/badge%}}</td>
			<td>
                <ul>
                    <li>このキーはオブジェクトの場所パスを定義します。</li>
                    <li>値は標準ファイルパス形式で提供します。値は配列として提供する必要があります。</li>
                    <li>サブディレクトリまたはバケット内の{{%bold%}}すべてのオブジェクト{{%/bold%}}を示すために、アスタリスク「*」特殊文字を使用できます。</li>
                    <li>動的変数{{%badge%}}X_ZUID{{%/badge%}}と{{%badge%}}X_ORGID{{%/badge%}}を使用してパスを定義することもできます。これらの動的変数はそれぞれ{{%bold%}}UserID{{%/bold%}}と{{%bold%}}OrgID{{%/bold%}}の値を保持します。これらの動的変数を使用するには、実際の{{%bold%}}UserID{{%/bold%}}と{{%bold%}}OrgID{{%/bold%}}名でディレクトリとオブジェクトを定義する必要があります。動的変数を使用したオブジェクトパスの定義の詳細については、{{%link href="/ja/cloud-scale/help/stratus/stratus-permissions/#dynamic-variables" %}}このセクション{{%/link%}}をご覧ください。</li>
                </ul>
            </td>
		</tr>
        <tr>
			<td>{{%badge%}}condition{{%/badge%}}</td>
			<td>このJSONキーは、アクションが発生する条件を定義します。</td>
		</tr>
        <tr>
			<td>{{%badge%}}user{{%/badge%}}</td>
			<td>
                このJSONキーはconditionキー内で使用され、定義される条件が適用されるユーザーまたはユーザーセットを指定します。
                <ul>
                    <li>{{%badge%}}auth_type{{%/badge%}}と{{%badge%}}zuid{{%/badge%}}の2つのJSONキーを含みます。</li>
                    <li>{{%badge%}}auth_type{{%/badge%}} JSONキーを使用してユーザーのタイプを定義できます</li>
                    <li>デフォルトの権限テンプレートを使用してバケットを作成すると、{{%badge%}}auth_type{{%/badge%}}にはデフォルト値が含まれます</li>
                    <li>{{%badge%}}auth_type{{%/badge%}} JSONキーには「{{%badge%}}{{%bold%}}public{{%/bold%}}{{%/badge%}}」または「{{%badge%}}{{%bold%}}authenticated{{%/bold%}}{{%/badge%}}」の2つの値のみ含めることができます。</li>
                    <li>{{%badge%}}zuid{{%/badge%}} JSONキーは、条件が適用されるユーザーを決定するために使用されます。</li>
                    <li>{{%badge%}}zuid{{%/badge%}}には、すべてのZUIDが条件に該当することを意味する特殊文字アスタリスク「*」を含めるか、条件が適用される特定のユーザーを指定するZUIDの配列を含めることができます。</li>
                    <li>{{%badge%}}org_details{{%/badge%}}はJSONオブジェクトを受け入れるJSONキーです。JSONオブジェクトはJSONキーと値のペアとして定義され、キーは{{%badge%}}zaaid{{%/badge%}}、値は{{%badge%}}zuid values{{%/badge%}}の配列です。</li>
                </ul>
                {{%note%}}{{%bold%}}注意:{{%/bold%}} ユーザーIDに基づくアクセスは、{{%badge%}}zuid values{{%/badge%}} JSONキーと値のペアまたは{{%badge%}}org_details{{%/badge%}} JSONのいずれかを使用して決定できます。両方を使用してユーザーアクセスを定義することはできません。{{%/note%}}
            </td>
		</tr>
        <tr>
			<td>{{%badge%}}{{%bold%}}Operators{{%/bold%}}{{%/badge%}}</td>
			<td>条件の適用・不適用のケースを定義するのに役立つJSONキーです。</td>
		</tr>
        <tr>
			<td>{{%badge%}}string_equals{{%/badge%}}</td>
			<td>文字列値が等しい場合に発生するアクションを指定します。</td>
		</tr>
        <tr>
			<td>{{%badge%}}string_not_equals{{%/badge%}}</td>
			<td>文字列値が一致しない場合に発生するアクションを定義します。</td>
		</tr>
        <tr>
			<td>{{%badge%}}string_equals_ignore_case{{%/badge%}}</td>
			<td>使用される大文字・小文字に関係なく文字列値が一致できるアクションを定義します。</td>
		</tr>
        <tr>
			<td>{{%badge%}}string_not_equals_ignore_case{{%/badge%}}</td>
			<td>使用される大文字・小文字に関係なく文字列値が一致しない場合に発生するアクションを定義します。</td>
		</tr>
        <tr>
			<td>{{%badge%}}string_like{{%/badge%}}</td>
			<td>文字列値の一部が指定したキーと一致する場合、オブジェクトに対してアクションを実行できます。</td>
		</tr>
        <tr>
			<td>{{%badge%}}string_not_like{{%/badge%}}</td>
			<td>文字列値の一部が指定したキーと一致しない場合、オブジェクトに対してアクションを実行できます。</td>
		</tr>
        <tr>
			<td>{{%badge%}}ip_address{{%/badge%}}</td>
			<td>許可している特定のIPからリクエストが送信された場合のアクションを定義します。</td>
		</tr>
        <tr>
			<td>{{%badge%}}not_ip_address{{%/badge%}}</td>
			<td>特に停止しているIPからリクエストが送信された場合に発生するアクションを定義します。</td>
		</tr>
        <tr>
			<td>{{%badge%}}{{%bold%}}Condition Keys{{%/bold%}}{{%/badge%}}</td>
			<td></td>
		</tr>
        <tr>
			<td>{{%badge%}}referrer{{%/badge%}}</td>
			<td>このJSONキーには、アクションが要求された完全なURLの値が含まれます。値は配列として提供する必要があります。例えば、マイクロサービスを作成し、{{%link href="/ja/serverless/help/appsail/introduction/" %}}Catalyst AppSail{{%/link%}}でホストしたとします。referrerの値はこのマイクロサービスの完全なURLとなり、権限はこのマイクロサービスに関連するアクションのみに定義されます。このキーは以下の演算子で使用されます：
                <ul>
                    <li>{{%badge%}}string_equals{{%/badge%}}</li>
                    <li>{{%badge%}}string_not_equals{{%/badge%}}</li>
                    <li>{{%badge%}}string_equals_ignore_case{{%/badge%}}</li>
                    <li>{{%badge%}}string_not_equals_ignore_case{{%/badge%}}</li>
                    <li>{{%badge%}}string_like{{%/badge%}}</li>
                    <li>{{%badge%}}string_not_like{{%/badge%}}</li>
                </ul>
            </td>
		</tr>
        <tr>
			<td>{{%badge%}}user_agent{{%/badge%}}</td>
			<td>このJSONキーには、リクエストが行われたソースの値が含まれます。値は配列として提供する必要があります。リクエストのソースがAPI、ブラウザなどであるかどうかを示します。このキーは以下の演算子で使用されます：
                <ul>
                    <li>{{%badge%}}string_equals{{%/badge%}}</li>
                    <li>{{%badge%}}string_not_equals{{%/badge%}}</li>
                    <li>{{%badge%}}string_equals_ignore_case{{%/badge%}}</li>
                    <li>{{%badge%}}string_not_equals_ignore_case{{%/badge%}}</li>
                    <li>{{%badge%}}string_like{{%/badge%}}</li>
                    <li>{{%badge%}}string_not_like{{%/badge%}}</li>
                </ul>
            </td>
		</tr>
        <tr>
			<td>{{%badge%}}source_ip{{%/badge%}}</td>
			<td>このJSONキーには、公開されているIPアドレスの値のみが含まれます。値は配列として提供する必要があります。特定のIPからのアクションを許可または拒否する権限を定義するのに役立ちます。このキーは以下の演算子で使用されます：
                <ul>
                    <li>{{%badge%}}ip_address{{%/badge%}}</li>
                    <li>{{%badge%}}not_ip_address{{%/badge%}}</li>
                </ul>            
            </td>
		</tr>
        <tr>
			<td>{{%badge%}}version{{%/badge%}}</td>
			<td>
                <ul>
                    <li>権限テンプレートのバージョンを示し、現在のバージョン値 - {{%badge%}}v1{{%/badge%}}を保持します。</li>
                    <li>このキーの値を変更しないことを強くお勧めします。</li>
                </ul>
            </td>
		</tr>
	</tbody>
</table>

{{%note%}}{{%bold%}}注意:{{%/bold%}} 権限を定義する際には、JSONキーの{{%bold%}}正確な名前を使用{{%/bold%}}していることを確認してください。{{%/note%}}

### 動的変数

権限を設定する際に、動的変数を使用してオブジェクトパスを定義できます。実行時に、これらの変数はオブジェクトのパスを定義する関連値を保持します。Stratusでは、以下の動的変数を使用してパスを定義できます：

* {{%badge%}}**X_ZUID**{{%/badge%}}: 実行時に実際の{{%badge%}}UserIDs{{%/badge%}}を保持します。
* {{%badge%}}**X_ORGID**{{%/badge%}}: 実行時に実際の{{%badge%}}OrgIDs{{%/badge%}}を保持します。

{{%note%}}{{%bold%}}注意:{{%/bold%}} 動的変数が機能するには、{{%badge%}}UserIDs{{%/badge%}}または{{%badge%}}OrgIDs{{%/badge%}}でオブジェクトパスを作成する必要があります。動的変数はこれらの値のみを保持するためです。{{%/note%}}

**動的変数を作成する構文**

動的変数を使用するには、以下の構文を使用する必要があります：

"paths": ["bucket_name::/${var:X_ZUID}/*"]

"paths": ["bucket_name::/${var:X_ORGID}/*"]

{{%note%}}{{%bold%}}注意:{{%/bold%}}

* {{%badge%}}paths{{%/badge%}}: オブジェクトのパスの値を保持します

* {{%badge%}}bucket_name{{%/badge%}}: バケットの名前の値を保持します{{%/note%}}

**動的変数を使用する構文**

以下の例では、{{%badge%}}X_ZUID{{%/badge%}}動的変数を使用してオブジェクトのパスを定義しています

{{% panel_without_adjustment header="Define path using the X_ZUID dynamic variable" class="language-json line-numbers"%}}{
    "version": "v1",
    "rules": [
        {
            "rule_id": "Example rule to allow user to access the path which has their ZUID in the path",
            "condition": {
                "user": {
                    "auth_type": "authenticated",
                    "zuid": "*"
                }
            }
        }
    ],
    "effect": "allow",
    "allowed_actions": [
        "GetObject"
    ],
    "paths": [
        "bucketName::/${var:X_ZUID}"  //Use the X_ORGID variable to define the path using OrgIDs
    ]
}
{{%/panel_without_adjustment%}}

{{%note%}}{{%bold%}}注意:{{%/bold%}}

* 動的変数は、権限テンプレートが全体的に{{%badge%}}Authenticated{{%/badge%}}に設定されているバケットで使用するのが最適です。

{{%/note%}}

### カスタム権限を示す例

ここでは、バケット内のオブジェクトの権限を定義するために作成できるカスタム権限テンプレートの例をいくつか見ていきましょう。

**例1**

{{% panel_without_adjustment header="Custom Permission Example" class="language-json line-numbers"%}}{
 "version" : "v1",
    "rules" : [
  {
   "rule_id" :  "Example rule where all authenticated ZUID users can perform all actions on a particular object",
   "effect"   :  "allow",
   "allowed_actions" : ["GetObject", "PutObject", "DeleteObject"],
   "paths" : ["bucketName::/user/*", "bucketName::/document/readme.md"],
   "condition" : [
    "user" :  {
     "auth_type" : "authenticated",
     "zuid" : "*"
    }
   ]  
  }
 ]
}
{{%/panel_without_adjustment%}}

上記のスニペットから、以下のことがわかります：

* 権限は**authenticated権限テンプレート**バケットに設定されています

* ユーザーが{{%badge%}}GetObject{{%/badge%}}、{{%badge%}}PutObject{{%/badge%}}、および{{%badge%}}DeleteObject{{%/badge%}}操作を実行できるように権限が定義されます。

* この権限は、{{%badge%}}user/{{%/badge%}}パスに存在するすべてのオブジェクトにのみ適用され、バケット内の{{%badge%}}document/{{%/badge%}}パスに存在する{{%badge%}}readme.md{{%/badge%}}オブジェクトにのみ適用されます。

* 権限はすべての*ZUID*に対して有効です。

これらをまとめると、上記の権限は、すべての認証されたユーザーが{{%badge%}}document/{{%/badge%}}パスに存在する**readme.md**オブジェクトおよび{{%badge%}}user/{{%/badge%}}パスに存在するすべてのオブジェクトに対してすべてのアクションを実行するために定義されていることがわかります。

**例2**

{{% panel_without_adjustment header="Custom Permission Example" class="language-json line-numbers"%}}{
 "version" : "v1",
"rule" : [
  {
   "rule_id"  : "Example rule to allow user to access the path which has their ZUID in the path",
   "effect" : "allow",
   "allowed_actions" : ["GetObject"],
   "paths" : ["bucketName::/${var:X_Zuid}"],
  }
 ]
}
{{%/panel_without_adjustment%}}

上記のスニペットから、以下のことがわかります：

* オブジェクトのパス名は*ZUID*に基づいて定義され、その値は実行時に動的に取得されます。

* パス内の特定のオブジェクトに対して{{%badge%}}GetObject{{%/badge%}}アクションの実行が許可されます。

これらをまとめると、上記の権限は、動的に取得される*ZUID*値と名前が一致するオブジェクトに対して{{%badge%}}GetObject{{%/badge%}}アクションが実行されるように定義されていることがわかります。

**例3**

{{% panel_without_adjustment header="Custom Permission Example" class="language-json line-numbers"%}}{
 "version" : "v1",
"rule" : [
  {
   "rule_id"  : "Example rule to deny specific users from accessing all the objects present in a particular path",
   "effect" : "deny",
   "allowed_actions" : ["GetObject", "PutObject", "DeleteObject"],
   "paths" : ["bucketName::/denyPath/*"],
   "condition" : {
    "user" : {
      "auth_type" : "authenticated",
      "zuid" : ["123", "456", "789"]
     }
   }
  }
 ]
}
{{%/panel_without_adjustment%}}

上記のスニペットから、以下のことがわかります：

* 権限は、*ZUID*が配列としてリストされている特定の認証されたユーザーに適用されます。

* 特定のユーザーはバケット内のすべてのオブジェクトに対して{{%badge%}}GetObject{{%/badge%}}、{{%badge%}}PutObject{{%/badge%}}、または{{%badge%}}DeleteObject{{%/badge%}}アクションを実行できません。

これらをまとめると、上記の権限は指定された*ZUID*を持つ認証されたユーザーに対して定義されていることがわかります。指定されたユーザーは特定のパスに存在するすべてのオブジェクトに対してアクションを実行することが許可されていません。

**例4**

{{% panel_without_adjustment header="Custom Permission Example" class="language-json line-numbers"%}}{
 "version" : "v1",
"rule" : [
  {
  "rule_id"  : "Example rule employing specific action for specific public paths in the bucket",
  "effect" : "allow",
  "allowed_actions" : ["GetObject"],
  "paths" : ["bucketName::/publicPath/*", "bucketName::/otherPath/otherPublicPath/*"],
   "condition" : {
    "user" : {
      "auth_type" : "public",
     }
    }
  },
  {
   "rule_id" : "Example rule where specifc actions can be performed on objects present in specific authenticated path, and these actions can be performed by all authenticated users",
   "effect" : "allow",
   "allowed_actions" : ["GetObject", "PutObject", "DeleteObject"],
   "paths" : ["bucketName::/authenticatedUser/*", "bucketPath::/otherProtectedPath/*"],
   "condition" : {
    "user" : {
     "auth_type" : "authenticated",
     "zuid" : "*"
    }
   }
  }
  ]
}
{{%/panel_without_adjustment%}}

上記のスニペットから、以下のことがわかります：

* このバケットに対して2つのルールが定義されています。バケット内の特定のパスは**public**としてリストされ、バケット内の特定のパスは**authenticated**ユーザーのみがアクセスできます。

* **publicパス**に該当するオブジェクトに対して実行できるアクションは{{%badge%}}GetObject{{%/badge%}}のみです。ただし、**authenticatedパス**にあり、*認証されたユーザー*のみがアクセスできるオブジェクトについては、authenticatedパスで許可されるアクションは{{%badge%}}GetObject{{%/badge%}}、{{%badge%}}PutObject{{%/badge%}}、および{{%badge%}}DeleteObject{{%/badge%}}です。

これらをまとめると、上記の権限は2つのルールで定義されていることがわかります。最初のルールは、パス内のすべてのオブジェクトが*public*であるため誰でもアクセスできるパスの権限を定義します。publicパス内のオブジェクトに対して実行できるアクションは{{%badge%}}GetObject{{%/badge%}}のみです。

2番目のルールでは、すべての*認証されたユーザー*が*authenticatedパス*にリストされているすべてのオブジェクトに対して{{%badge%}}GetObject{{%/badge%}}、{{%badge%}}PutObject{{%/badge%}}、および{{%badge%}}DeleteObject{{%/badge%}}アクションを実行できます。

**例5**

{{% panel_without_adjustment header="Custom Permission Example" class="language-json line-numbers"%}}{
    "version" : "v1",
    "rules" : [ 
        {
            "rule_id" : "RuleNumber1",
            "effect" : "allow",
            "allowed_actions" : ["GetObject", "PutObject"],
            "paths" : ["bucketname::/protectedpath/*"],
            "condition" : {
                "user" : {
                    "auth_type" : "authenticated",
                    "zuid" : "*"
                },
                "string_equal" : {
                    "user_agent" : ["Mozilla/5.0"],
                    "referrer" : ["https://www.example.com", "https://www.example.com/get_user/"]
                },
             "ip_address" : {
                    "source_ip" : ["121.67.8.1"]
                }
            }
        },
        {
            "rule_id" : "RuleNumber2",
            "effect" : "deny",
            "allowed_actions" : ["GetObject"],
            "paths" : ["bucketname::/denypath/*"],
            "condition" : {
                "user" : {
                    "auth_type" : "authenticated"
                },
                "string_like" : {
                    "user_agent" : ["PostmanRuntime/7.39.0"]
                }
            }
        },
       {
            "rule_id" : "RuleNumber3",
            "effect" : "allow",
            "allowed_actions" : ["PutObject"],
            "paths" : ["bucketname::/uploadhere/*"],
            "condition" : {
                "user" : {
                    "auth_type" : "authenticated",
                    "org_details" : {
                        "zaaid" : ["12096000001275047", "12096000001278879"]                    }
                },
                "not_ip_address" : {
                    "source_ip" : ["122.23.44.19"]
                }
            }
        }
    ]
}
{{%/panel_without_adjustment%}}

上記のスニペットから、{{%badge%}}RuleNumber1{{%/badge%}}、{{%badge%}}RuleNumber2{{%/badge%}}、および{{%badge%}}RuleNumber3{{%/badge%}}の3つのルールが定義されていることがわかります。

- {{%badge%}}**RuleNumber1**{{%/badge%}}
    - オブジェクトへのアクセスは、アクセスを試みるシステムのIPアドレスが{{%badge%}}ip_address{{%/badge%}} JSON内の{{%badge%}}source_ip{{%/badge%}}にリストされている値と一致する場合のみ可能です。
    - オブジェクトへのアクセスは、{{%badge%}}zaaid{{%/badge%}}（*User IDs*）が{{%badge%}}org_details{{%/badge%}} JSON内にリストされているものと一致するユーザーのみが可能です。
    - オブジェクトへのアクセスは、Webからのアクセス試行がMozillaブラウザによるものであり、アクセス要求が記載された{{%badge%}}referrers{{%/badge%}}から発信された場合のみ可能です。
    - ルールはすべての**認証されたユーザー**に対して定義されています。
    - アクセス要求が上記のすべての条件を満たす場合、定義されたパスでは{{%badge%}}GetObject{{%/badge%}}および{{%badge%}}PutObject{{%/badge%}}アクションのみが許可されます。

- {{%badge%}}**RuleNumber2**{{%/badge%}}
    - ルールは、{{%badge%}}user_agent{{%/badge%}}が**Postman**（{{%link href="https://www.postman.com/" %}}Postman APIプラットフォーム{{%/link%}}を使用してリクエストが行われた）であるアクセス要求を試みる認証されたユーザーに対して定義されています。
    - 定義されたパスでは、そのようなユーザーは{{%badge%}}GetObject{{%/badge%}}操作の実行を拒否されます。

- {{%badge%}}**RuleNumber3**{{%/badge%}}
    - ルールは、{{%badge%}}not_ip_address{{%/badge%}} JSON内の{{%badge%}}source_ip{{%/badge%}}に記載されたIPアドレスを除く任意のIPアドレスからリクエストが行われた場合に適用されるように定義されています。
    - ルールは**認証されたユーザー**のみに適用され、特に{{%badge%}}org_details{{%/badge%}} JSONで定義された{{%badge%}}zaaid{{%/badge%}}を持つユーザーに適用されます。
    - ユーザーが上記のすべての条件を満たすアクセス要求を試みた場合、定義されたパスで{{%badge%}}PutObject{{%/badge%}}を実行することが許可されます。

### バケットに保存されたオブジェクトのカスタム権限設定

カスタム権限を設定するには：

1. リストから必要なバケットを選択します。
    <br />

2. *Bucket Permissions*タブに移動します。**Edit Permission**をクリックします。
    <br />

3. 要件に応じて権限を編集し、**Update**をクリックして変更を確認します。
    <br />

権限が設定に従って適用されます。

{{%note%}}{{%bold%}}注意:{{%/bold%}} カスタム権限の詳細については、この{{%link href="/ja/cloud-scale/help/stratus/stratus-permissions/#custom-permissions" %}}ヘルプドキュメント{{%/link%}}を参照してください。{{%/note%}}

デフォルト権限テンプレート

2種類のデフォルト権限テンプレートのいずれかを使用してバケットを作成できます。

Authenticated権限テンプレート: このデフォルト権限テンプレートを使用して作成されたバケットは、アプリケーションのクライアントポータルで認証されたユーザーのみがバケットのすべてのオブジェクトにアクセスできることを規定します。
Public権限テンプレート: このデフォルト権限テンプレートを使用して作成されたバケットは、インターネット上のすべてのエンドユーザーが認証要件なしにバケットのオブジェクトにアクセスできるようにします。

注意:

両方の権限テンプレートは、バケットを作成する際に選択する必要があるデフォルトタイプです。これらのテンプレートは編集可能で、バケットに保存された個々のオブジェクトの権限も編集できます。
設定された権限はプロジェクトユーザーにのみ適用され、コラボレーターには適用されません。

これらの権限はエンドユーザーのアクセスレベルを定義するためのものであり、CollaboratorsやAdministratorsのためのものではありません。コラボレーターのアクセスレベルはProfiles & Permissionsセクションで定義できます。
選択した権限テンプレートに関係なく、バケット内のuploadアクションは認証されたユーザーのみが実行できます。

カスタム権限

バケットを作成する際に、デフォルトの権限テンプレート（AuthenticatedまたはPublic）を選択する必要があります。選択に基づいてデフォルトの権限テンプレートが読み込まれ、バケットが作成されます。これに加えて、選択した権限テンプレートに関係なく、シンプルなJSONコードを使用して個々のオブジェクトごとの権限を定義したり、サブディレクトリ全体の権限を定義したりできます。

選択に基づいて読み込まれるデフォルトの権限テンプレートを以下に示します：

デフォルトAuthenticated権限テンプレート

Authenticated Permission Template
copy

         {
    "rules": [
        {
            "rule_id": "AuthenticatedBucket_Rule1",
            "condition": {
                "user": {
                    "auth_type": "authenticated",
                    "zuid": "*"
                }
            },
            "allowed_actions": [
                "GetObject"
            ],
            "paths": [
                "vendorstats::/*"
            ],
            "effect": "allow"
        }
    ],
    "version": "v1"
}

    

デフォルトPublic権限テンプレート

Authenticated Permission Template
copy

         {
    "rules": [
        {
            "rule_id": "PublicBucket",
            "condition": {
                "user": {
                    "auth_type": "public"
                }
            },
            "actions": [
                "GetObject"
            ],
            "paths": [
                "zylker-bucket-pubs::/*"
            ],
            "effect": "allow"
        }
    ],
    "version": "v1"
}

    

両方の権限テンプレートを効果的に編集し、カスタム権限を使用するには、以下のJSONキーとその目的を理解する必要があります：

JSONキー名	目的
rules	権限を設定するJSONキーですこのキーには、バケット内のオブジェクトに対して定義するすべてのルールが含まれます
rule_id	定義するルールの名前を含む文字列です。一意に識別できる方法でルールに名前を付ける必要があります。
effect	allowまたはdenyの2つの値のみを入力できるキーです値に基づいて、特定のユーザーにアクションの実行をallow（許可）するか、特定のユーザーのアクションをdeny（拒否）するルールになります。複数の設定された権限ステートメントの条件を満たすアクセス要求を受け取った場合、以下の動作が予想されます一致するステートメントの1つでもeffectがdenyの場合、denyがすべてのallowステートメントを上書きします。 allowのeffectを有効にするには、一致する条件を持つステートメントの少なくとも1つがeffectとしてallowを持ち、どのステートメントもeffectとしてdenyを持っていない必要があります。
allowed_actions	ユーザーがオブジェクトに対して実行できるアクションを定義するキーです。許可されるアクションは以下のとおりです： GetObject: オブジェクトデータを取得する PutObject: オブジェクトデータを作成、書き込み、更新する DeleteObject: オブジェクトデータを削除する
paths	このキーはオブジェクトの場所パスを定義します。値は標準ファイルパス形式で提供します。値は配列として提供する必要があります。サブディレクトリまたはバケット内のすべてのオブジェクトを示すために、アスタリスク「」特殊文字を使用できます。動的変数X_ZUIDとX_ORGIDを使用してパスを定義することもできます。これらの動的変数はそれぞれUserIDとOrgIDの値を保持します。これらの動的変数を使用するには、実際のUserIDとOrgID*名でディレクトリとオブジェクトを定義する必要があります。動的変数を使用したオブジェクトパスの定義の詳細については、このセクションをご覧ください。
condition	このJSONキーは、アクションが発生する条件を定義します。
user	このJSONキーはconditionキー内で使用され、定義される条件が適用されるユーザーまたはユーザーセットを指定します。 auth_typeとzuidの2つのJSONキーを含みます。 auth_type JSONキーを使用してユーザーのタイプを定義できますデフォルトの権限テンプレートを使用してバケットを作成すると、auth_typeにはデフォルト値が含まれます auth_type JSONキーには「public」または「authenticated」の2つの値のみ含めることができます。 zuid JSONキーは、条件が適用されるユーザーを決定するために使用されます。 zuidには、すべてのZUIDが条件に該当することを意味する特殊文字アスタリスク「」を含めるか、条件が適用される特定のユーザーを指定するZUIDの配列を含めることができます。 org_detailsはJSONオブジェクトを受け入れるJSONキーです。JSONオブジェクトはJSONキーと値のペアとして定義され、キーはzaaid、値はzuid valuesの配列です。注意:* ユーザーIDに基づくアクセスは、zuid values JSONキーと値のペアまたはorg_details JSONのいずれかを使用して決定できます。両方を使用してユーザーアクセスを定義することはできません。
Operators	条件の適用・不適用のケースを定義するのに役立つJSONキーです。
string_equals	文字列値が等しい場合に発生するアクションを指定します。
string_not_equals	文字列値が一致しない場合に発生するアクションを定義します。
string_equals_ignore_case	使用される大文字・小文字に関係なく文字列値が一致できるアクションを定義します。
string_not_equals_ignore_case	使用される大文字・小文字に関係なく文字列値が一致しない場合に発生するアクションを定義します。
string_like	文字列値の一部が指定したキーと一致する場合、オブジェクトに対してアクションを実行できます。
string_not_like	文字列値の一部が指定したキーと一致しない場合、オブジェクトに対してアクションを実行できます。
ip_address	許可している特定のIPからリクエストが送信された場合のアクションを定義します。
not_ip_address	特に停止しているIPからリクエストが送信された場合に発生するアクションを定義します。
Condition Keys
referrer	このJSONキーには、アクションが要求された完全なURLの値が含まれます。値は配列として提供する必要があります。例えば、マイクロサービスを作成し、Catalyst AppSailでホストしたとします。referrerの値はこのマイクロサービスの完全なURLとなり、権限はこのマイクロサービスに関連するアクションのみに定義されます。このキーは以下の演算子で使用されます： string_equals string_not_equals string_equals_ignore_case string_not_equals_ignore_case string_like string_not_like
user_agent	このJSONキーには、リクエストが行われたソースの値が含まれます。値は配列として提供する必要があります。リクエストのソースがAPI、ブラウザなどであるかどうかを示します。このキーは以下の演算子で使用されます： string_equals string_not_equals string_equals_ignore_case string_not_equals_ignore_case string_like string_not_like
source_ip	このJSONキーには、公開されているIPアドレスの値のみが含まれます。値は配列として提供する必要があります。特定のIPからのアクションを許可または拒否する権限を定義するのに役立ちます。このキーは以下の演算子で使用されます： ip_address not_ip_address
version	権限テンプレートのバージョンを示し、現在のバージョン値 - v1を保持します。このキーの値を変更しないことを強くお勧めします。

注意: 権限を定義する際には、JSONキーの正確な名前を使用していることを確認してください。

動的変数

X_ZUID: 実行時に実際のUserIDsを保持します。
X_ORGID: 実行時に実際のOrgIDsを保持します。

注意: 動的変数が機能するには、UserIDsまたはOrgIDsでオブジェクトパスを作成する必要があります。動的変数はこれらの値のみを保持するためです。

動的変数を作成する構文

動的変数を使用するには、以下の構文を使用する必要があります：

“paths”: [“bucket_name::/${var:X_ZUID}/*”]

“paths”: [“bucket_name::/${var:X_ORGID}/*”]

注意:

paths: オブジェクトのパスの値を保持します
bucket_name: バケットの名前の値を保持します

動的変数を使用する構文

以下の例では、X_ZUID動的変数を使用してオブジェクトのパスを定義しています

Define path using the X_ZUID dynamic variable
copy

         {
    "version": "v1",
    "rules": [
        {
            "rule_id": "Example rule to allow user to access the path which has their ZUID in the path",
            "condition": {
                "user": {
                    "auth_type": "authenticated",
                    "zuid": "*"
                }
            }
        }
    ],
    "effect": "allow",
    "allowed_actions": [
        "GetObject"
    ],
    "paths": [
        "bucketName::/${var:X_ZUID}"  //Use the X_ORGID variable to define the path using OrgIDs
    ]
}

    

注意:

動的変数は、権限テンプレートが全体的にAuthenticatedに設定されているバケットで使用するのが最適です。

カスタム権限を示す例

ここでは、バケット内のオブジェクトの権限を定義するために作成できるカスタム権限テンプレートの例をいくつか見ていきましょう。

例1

Custom Permission Example
copy

         {
 "version" : "v1",
    "rules" : [
  {
   "rule_id" :  "Example rule where all authenticated ZUID users can perform all actions on a particular object",
   "effect"   :  "allow",
   "allowed_actions" : ["GetObject", "PutObject", "DeleteObject"],
   "paths" : ["bucketName::/user/*", "bucketName::/document/readme.md"],
   "condition" : [
    "user" :  {
     "auth_type" : "authenticated",
     "zuid" : "*"
    }
   ]  
  }
 ]
}

    

上記のスニペットから、以下のことがわかります：

権限はauthenticated権限テンプレートバケットに設定されています
ユーザーがGetObject、PutObject、およびDeleteObject操作を実行できるように権限が定義されます。
この権限は、user/パスに存在するすべてのオブジェクトにのみ適用され、バケット内のdocument/パスに存在するreadme.mdオブジェクトにのみ適用されます。
権限はすべてのZUIDに対して有効です。

これらをまとめると、上記の権限は、すべての認証されたユーザーがdocument/パスに存在するreadme.mdオブジェクトおよびuser/パスに存在するすべてのオブジェクトに対してすべてのアクションを実行するために定義されていることがわかります。

例2

Custom Permission Example
copy

         {
 "version" : "v1",
"rule" : [
  {
   "rule_id"  : "Example rule to allow user to access the path which has their ZUID in the path",
   "effect" : "allow",
   "allowed_actions" : ["GetObject"],
   "paths" : ["bucketName::/${var:X_Zuid}"],
  }
 ]
}

    

上記のスニペットから、以下のことがわかります：

オブジェクトのパス名はZUIDに基づいて定義され、その値は実行時に動的に取得されます。
パス内の特定のオブジェクトに対してGetObjectアクションの実行が許可されます。

これらをまとめると、上記の権限は、動的に取得されるZUID値と名前が一致するオブジェクトに対してGetObjectアクションが実行されるように定義されていることがわかります。

例3

Custom Permission Example
copy

         {
 "version" : "v1",
"rule" : [
  {
   "rule_id"  : "Example rule to deny specific users from accessing all the objects present in a particular path",
   "effect" : "deny",
   "allowed_actions" : ["GetObject", "PutObject", "DeleteObject"],
   "paths" : ["bucketName::/denyPath/*"],
   "condition" : {
    "user" : {
      "auth_type" : "authenticated",
      "zuid" : ["123", "456", "789"]
     }
   }
  }
 ]
}

    

上記のスニペットから、以下のことがわかります：

権限は、ZUIDが配列としてリストされている特定の認証されたユーザーに適用されます。
特定のユーザーはバケット内のすべてのオブジェクトに対してGetObject、PutObject、またはDeleteObjectアクションを実行できません。

これらをまとめると、上記の権限は指定されたZUIDを持つ認証されたユーザーに対して定義されていることがわかります。指定されたユーザーは特定のパスに存在するすべてのオブジェクトに対してアクションを実行することが許可されていません。

例4

Custom Permission Example
copy

         {
 "version" : "v1",
"rule" : [
  {
  "rule_id"  : "Example rule employing specific action for specific public paths in the bucket",
  "effect" : "allow",
  "allowed_actions" : ["GetObject"],
  "paths" : ["bucketName::/publicPath/*", "bucketName::/otherPath/otherPublicPath/*"],
   "condition" : {
    "user" : {
      "auth_type" : "public",
     }
    }
  },
  {
   "rule_id" : "Example rule where specifc actions can be performed on objects present in specific authenticated path, and these actions can be performed by all authenticated users",
   "effect" : "allow",
   "allowed_actions" : ["GetObject", "PutObject", "DeleteObject"],
   "paths" : ["bucketName::/authenticatedUser/*", "bucketPath::/otherProtectedPath/*"],
   "condition" : {
    "user" : {
     "auth_type" : "authenticated",
     "zuid" : "*"
    }
   }
  }
  ]
}

    

上記のスニペットから、以下のことがわかります：

このバケットに対して2つのルールが定義されています。バケット内の特定のパスはpublicとしてリストされ、バケット内の特定のパスはauthenticatedユーザーのみがアクセスできます。
publicパスに該当するオブジェクトに対して実行できるアクションはGetObjectのみです。ただし、authenticatedパスにあり、認証されたユーザーのみがアクセスできるオブジェクトについては、authenticatedパスで許可されるアクションはGetObject、PutObject、およびDeleteObjectです。

これらをまとめると、上記の権限は2つのルールで定義されていることがわかります。最初のルールは、パス内のすべてのオブジェクトがpublicであるため誰でもアクセスできるパスの権限を定義します。publicパス内のオブジェクトに対して実行できるアクションはGetObjectのみです。

2番目のルールでは、すべての認証されたユーザーがauthenticatedパスにリストされているすべてのオブジェクトに対してGetObject、PutObject、およびDeleteObjectアクションを実行できます。

例5

Custom Permission Example
copy

         {
    "version" : "v1",
    "rules" : [ 
        {
            "rule_id" : "RuleNumber1",
            "effect" : "allow",
            "allowed_actions" : ["GetObject", "PutObject"],
            "paths" : ["bucketname::/protectedpath/*"],
            "condition" : {
                "user" : {
                    "auth_type" : "authenticated",
                    "zuid" : "*"
                },
                "string_equal" : {
                    "user_agent" : ["Mozilla/5.0"],
                    "referrer" : ["https://www.example.com", "https://www.example.com/get_user/"]
                },
             "ip_address" : {
                    "source_ip" : ["121.67.8.1"]
                }
            }
        },
        {
            "rule_id" : "RuleNumber2",
            "effect" : "deny",
            "allowed_actions" : ["GetObject"],
            "paths" : ["bucketname::/denypath/*"],
            "condition" : {
                "user" : {
                    "auth_type" : "authenticated"
                },
                "string_like" : {
                    "user_agent" : ["PostmanRuntime/7.39.0"]
                }
            }
        },
       {
            "rule_id" : "RuleNumber3",
            "effect" : "allow",
            "allowed_actions" : ["PutObject"],
            "paths" : ["bucketname::/uploadhere/*"],
            "condition" : {
                "user" : {
                    "auth_type" : "authenticated",
                    "org_details" : {
                        "zaaid" : ["12096000001275047", "12096000001278879"]                    }
                },
                "not_ip_address" : {
                    "source_ip" : ["122.23.44.19"]
                }
            }
        }
    ]
}

    

上記のスニペットから、RuleNumber1、RuleNumber2、およびRuleNumber3の3つのルールが定義されていることがわかります。

RuleNumber1
- オブジェクトへのアクセスは、アクセスを試みるシステムのIPアドレスがip_address JSON内のsource_ipにリストされている値と一致する場合のみ可能です。
- オブジェクトへのアクセスは、zaaid（User IDs）がorg_details JSON内にリストされているものと一致するユーザーのみが可能です。
- オブジェクトへのアクセスは、Webからのアクセス試行がMozillaブラウザによるものであり、アクセス要求が記載されたreferrersから発信された場合のみ可能です。
- ルールはすべての認証されたユーザーに対して定義されています。
- アクセス要求が上記のすべての条件を満たす場合、定義されたパスではGetObjectおよびPutObjectアクションのみが許可されます。
RuleNumber2
- ルールは、user_agentがPostman（Postman APIプラットフォームを使用してリクエストが行われた）であるアクセス要求を試みる認証されたユーザーに対して定義されています。
- 定義されたパスでは、そのようなユーザーはGetObject操作の実行を拒否されます。
RuleNumber3
- ルールは、not_ip_address JSON内のsource_ipに記載されたIPアドレスを除く任意のIPアドレスからリクエストが行われた場合に適用されるように定義されています。
- ルールは認証されたユーザーのみに適用され、特にorg_details JSONで定義されたzaaidを持つユーザーに適用されます。
- ユーザーが上記のすべての条件を満たすアクセス要求を試みた場合、定義されたパスでPutObjectを実行することが許可されます。

バケットに保存されたオブジェクトのカスタム権限設定

カスタム権限を設定するには：

リストから必要なバケットを選択します。
Bucket Permissionsタブに移動します。Edit Permissionをクリックします。
要件に応じて権限を編集し、Updateをクリックして変更を確認します。

権限が設定に従って適用されます。

注意: カスタム権限の詳細については、このヘルプドキュメントを参照してください。

最終更新日 2026-03-05 11:43:24 +0530 IST

Yes

Thank you for your feedback!

Send your feedback to us

Skip

Submit

Create a Bucket Java SDK Node.js SDK Python SDK Web SDK iOS SDK Android SDK Flutter SDK REST API