记一次阿里oss访问策略设置

最新推荐文章于 2025-02-13 19:39:57 发布
最新推荐文章于 2025-02-13 19:39:57 发布
阅读量3.6k 收藏 2
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/luo15242208310/article/details/114529421
版权
本文揭示了阿里OSS中公共读写权限与bucket私有权限的冲突,指出上传文件的ACL设置可覆盖bucket设置,并提供了最佳实践:创建bucket时设定合适权限,上传文件采用签名验证,保持文件ACL继承bucket设置。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

起初我们在创建OSS bucket时,都会指定其读写权限,
在这里插入图片描述
通常我们都会设置成"公共读",即对上传有签名验证限制,而可以通过文件链接随意下载,
今天在检查线上阿里OSS bucket设置时,发现所有的bucket的读写权限都设置成了"私有",
而我们的用户却还可以通过文件链接来直接下载文件😱很是诧异!
虽然bucket设置了"私有"权限,但开发上传的文件却是"公共读"权限:
在这里插入图片描述

后来查看OSS相关资料发现🔗读写权限ACL后发现,其实也可以在上传文件时指定ACL
在这里插入图片描述
而在看了我们之前的开发代码后发现,其实我们在每次上传文件时都指定了访问策略为"公共读"
在这里插入图片描述在这里插入图片描述

综上,
即每次上传文件的acl设置(或 后续单独acl设置)可以覆盖bucket的设置,若上传文件文件时没有指定acl设置则继承bucket的acl设置。

最终方案:

  1. 在创建bucket的时候设置合适的acl权限;
  2. 上传文件使用签名认证方式(无需指定acl),即由服务端生成签名,而终端通过签名进行文件上传;
  3. 上传的文件继承bucket的acl设置;
阿里OSS访问控制
sayyy的专栏
01-12 3147
目录前言概念OSS提供的权限控制策略RAM PolicyBucket PolicyBucket ACLObject ACL当Bucket同时存在多个权限控制策略(如RAM Policy、Bucket Policy、Bucket ACL、Object ACL)时的鉴权流程使用STS临时授权访问OSSOSS资源允许匿名访问设置方式1:Bucket ACL 设置成公共读方式2:Object ACL 设置成公共读方式3:Bucket Policy 设置指定目录OSS资源匿名访问使用STS临时授权访问OSS 前言
阿里oss bucket的读写权限私有读写时如何处理
lianghui1986的专栏
03-17 1793
阿里oss bucket的读写权限私有读写时如何处理
阿里OSS创建,及修改读写权限为公共读。
最新发布
m0_72696598的博客
02-13 1661
〇 名字区域等略过不讲①默认为同城冗余,但计费标准更高,如果对数据安全性要求不严格,可以改为本地。②如果想开启公共读,会发现创建时改不了,暂时先不改,完成创建阿里云介绍:阻止公共访问能够方便企业对 OSS 资源进行集中化的权限管理,有效降低数据被盗刷的风险,同时降低数据泄漏风险。了解更多功能介绍,请查看注意已开启阻止公共访问,该存储桶将不再允许匿名访问且不允许创建含有公共访问语义的权限策略
阿里OSS
hqs2212586的专栏
07-17 2270
OSS基本概念阿里云对象存储服务(Object Storage Service,OSS)——阿里云提供的云存储服务。 可以通过调用API,上传和下载数据,还可以通过WEB控制台对数据进行简单管理。 OSS适合存放任意类型文件,适合各种网络、开发企业及开发者使用。
云原生内容分享(二十六):对象存储私有读写方案实现|云原生实践
之乎者也·的博客
02-10 1425
在部署上云服务中,做存算分离是云原生实践架构的基本门槛。存指的是数据的存储,云原生架构中根据结构和读写需求的不同,数据会放在数据库或对象存储中,和计算资源分离。在虚拟机里直接跑数据库+文件服务,这不叫云原生实践架构。关于为什么使用对象存储而不是其他,什么情况下应该放对象存储还是放数据库,不是本文要讲的点,如果有兴趣可以阅读下云原生王四条。但很多业务场景下需要的是,所以本文就来详细分享一下如何处理对象存储私有读写,以及附带着分享一些基于资源角色做授权处理的经验。
阿里OSS配置私有Bucket生成STS临时授权Url访问
Peace and Devotion Give me Power
11-17 1万+
阿里OSS配置私有Bucket生成STS临时授权Url访问 阿里云提供的 权限管理系统 或 访问控制服务 主要包含两部分,RAM(Resource Access Management)和 STS(Security Token Service),RAM 主要的作用是控制账号系统的权限,你可以使用 RAM 在主账号的权限范围内创建子用户,给不同的子用户分配不同的权限从而达到授权管理的目的。STS 是一个安全凭证(Token)的管理系统,你可以使用 STS 来完成对于临时用户的访问授权。 RAM 和 STS 需
java实现使用STS临时访问凭证访问阿里OSS.zip
04-01
通过阅读和学习这个示例,您可以了解如何在实际项目中集成STS和OSS访问。这包括了如何设置请求参数,如何处理响应,以及如何在代码中安全地管理这些凭证。通过这样的实践,您可以更好地理解阿里云的安全机制,提高...
阿里OSS访问权限配置(RAM权限控制)实现
09-14
阿里云对象存储服务(Object Storage Service,简称OSS),是一种基于网络的数据存储服务,能够提供安全、高可用、低成本的数据存储解决方案。在使用OSS的过程中,确保数据的安全性至关重要,这就涉及到了访问权限的...
苍穹外卖阿里oss存储笔
08-23
通过"阿里云对象存储操作流程.pdf",你可以详细了解到如何实际操作阿里OSS,包括创建和管理Bucket、上传和下载文件、设置访问权限以及如何利用其特性优化存储和访问效率。这些知识对于使用阿里OSS进行云存储管理...
Java实现网盘文件管理功能,调用阿里oss存储实现
06-08
在开发一个基于Java的网盘文件管理系统时,利用阿里OSS(Object Storage Service)服务可以极大地提升存储和访问效率。阿里OSS是一个稳定、安全、高效、易用的云存储服务,适合大规模存储非结构化数据,如图片、...
OSS】Bucket读写权限
寻常巷模
08-10 1万+
用户创建的Bucket总共有三种权限: /*私有 * 只允许自己读写操作,其他用户没有权限 */ CannedAccessControlList acl_private = CannedAccessControlList.Private; /*公共读写 * 允许自己和其他用户读写操作 */ CannedAccessControlList acl_pub_readwrite = Ca
SpringBoot 整合 阿里OSS对象存储服务
Mistra的博客
07-16 5093
今天来整合一下SpringBoot和阿里OSS对象存储服务。 一、配置OSS服务 先在阿里云开通对象存储服务,拿到AccessKeyId、AccessKeySecret。 创建你的bucket(存储空间),相当于一个一个的文件夹目录。按业务需求分类存储你的文件,图片,音频,app包等等。创建bucket是要选择该bucket的权限,私有,公共读,公共读写,按需求选择。创建bucket时对应的...
阿里云使用js 实现OSS图片上传、获取OSS图片列表、获取图片外网访问地址(读写权限私有、读写权限公共);
张海涛
12-27 1万+
1.引入js文件 <scriptsrc="http://gosspublic.alicdn.com/aliyun-oss-sdk-4.4.4.min.js"></script> 2.填写配置信息 1 2 3 4 5 6 7 varclient =newOSS.Wrapper({ ...
前端使用oss
wang9rui的博客
06-15 1890
访问oss资源
对象存储COS和OSS分别是什么?它有什么作用
热门推荐
云计算
05-16 1万+
对象存储COS(英文Cloud Object Storage)是腾讯云提供的一种存储海量文件的分布式存储服务,用户可通过网络随时存储和查看数据。COS 以冗余的方式跨多个地域存储用户数据,并允许多个不同的客户端或应用程序线程同时对这些数据进行读或写操作。官方帮助文档 对象存储服务OSS(英文Object Storage Service)是阿里云提供的一种海量、安全、低成本、高可靠的云存储服务,适合存放任意类型的文件。容量和处理能力弹性扩展,多种存储类型供选择,全面优化存储成本。 官方帮助文档 以上是官方解释
云服务——阿里OSS的入门使用
测试
03-29 1717
阿里OSS的简单使用
oss新增bucket权限问题
qq_34103387的博客
07-15 4864
oss新增bucket权限问题
回(2)——腾讯云OSS的使用配置
大梁来了的博客
09-11 1373
​ 1.CDN概念前面已经详细描述过,在云的节点存储一份你需要加速的内容(图片/视频/下载的附件,这是原理),在实际使用过程中,我们需要绑定我们自己的加速域名。管理上的灵活性大幅度受到影响,第三方面,如果你需要集成访问到自己系统里面实现一些特殊功能,比如某个只能下载一次的链接操作,如果资源储存在腾讯云里面,别人是可以无限盗用下载的,而如果你使用一段逻辑控制访问后,从远程云端下载到服务器端,然后再从服务器端下发给客户,而且下发后,本次请求链接再也无法使用,这样就实现了盗用的逻辑。这节进入更详细的概念配置。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

罗小爬EX

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值