阿里云OSS配置私有Bucket生成STS临时授权Url访问

最新推荐文章于 2024-05-30 19:45:14 发布
最新推荐文章于 2024-05-30 19:45:14 发布
阅读量1w 收藏 26
点赞数 4
分类专栏: Sprinboot相关 文章标签: java 阿里云 spring boot 安全 经验分享
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40054346/article/details/121372746
版权

阿里云OSS配置私有Bucket生成STS临时授权Url访问

阿里云提供的 权限管理系统 或 访问控制服务 主要包含两部分,RAM(Resource Access Management)和 STS(Security Token Service),RAM 主要的作用是控制账号系统的权限,你可以使用 RAM 在主账号的权限范围内创建子用户,给不同的子用户分配不同的权限从而达到授权管理的目的。STS 是一个安全凭证(Token)的管理系统,你可以使用 STS 来完成对于临时用户的访问授权。

RAM 和 STS 需要解决的一个核心问题是如何在不暴露主账号的 AccessKey 的情况下安全的授权别人访问,因为一旦主账号的 AccessKey 暴露出去的话会带来极大的安全风险,别人可以随意操作该账号下所有的资源,盗取重要信息等。

RAM 提供一种 长期有效 的权限控制机制,通过分出不同权限的 子账号,将不同的权限分给不同的用户,这样一旦子账号泄露也不会造成全局的信息泄露。但是,由于子账号在一般情况下是长期有效的,因此,子账号的 AccessKey 也是不能泄露的。

相对于 RAM 提供的长效控制机制,STS 提供的是一种 临时访问授权 。通过 STS 可以返回 临时的 AccessKey 和 Token,这些信息可以直接发给临时用户用来访问 OSS 。一般来说,从 STS 获取的权限会受到更加严格的限制,并且拥有时间限制,因此这些信息泄露之后对于系统的影响也很小。

举个例子
当前你的阿里云用户,其在 OSS 下有一个私有的 Bucket,bucket-a 。我们的账户对这个 Bucket 都拥有完全的权限。
为了避免阿里云主账号的 AccessKey 泄露导致安全风险,我们一般会使用 RAM 创建了子账号 如:“testOss”。子账户testOss拥有独立的 AccessKey和AccessKeySecret 。这个时候需要再创建一个新的角色,并且给这个角色赋予Bucket读取的权限。
为了能获取 临时授权,这个时候可以调用 STS 的 AssumeRole 接口,告诉 STS ,子账号 testOss 将要扮演 刚才我们新建的 这个角色,如果成功,STS 会返回一个 临时的 AccessKeyId 、AccessKeySecret 还有 SecurityToken 作为访问凭证。将这个 临时授权凭证 发给需要访问的 临时用户 就可以获得访问 bucket-a的临时权限了,凭证过期的时间可以在调用 AssumeRole 接口的时候指定,最大不超过2小时。
并且将我们临时授权凭使用签名URL进行临时授权,既可以拿到文件访问的临时授权的url。

准备工作

  1. 创建 RAM 子账号
    创建一个 RAM 子账号 oss-test-key,不需要赋予任何权限,因为在扮演角色的时候会自动获得被扮演角色的所有权限。
    注意:这里建议给你创建的子账户赋予上传的权限,否则你在上传的时候需要先获取STS授权才能上传,这里我提前赋予了,所以Bucket是私有的情况下,上传是不受影响的,只是访问预览下载链接会被拒绝
    进入控制台-选择OSS存储对象-选择Access Key
    在这里插入图片描述
    跳转页面,阿里云会告诉你建议使用子账户Access Key-选择开始使用子用户Access Key
    在这里插入图片描述
    创建用户
    在这里插入图片描述
    创建你的账户信息和显示名称(别忘记勾选Open Api调用访问)
    在这里插入图片描述
  2. 创建授权角色
    点击角色-创建角色-选择阿里云账户
    在这里插入图片描述
    配置角色名称-完成-为角色授权
    在这里插入图片描述
    选择系统策略-搜索OSS-选择AliyunOSSReadOnlyAccess(只读访问对象存储服务(OSS)的权限),AliyunOSSFullAccess(管理对象存储服务(OSS)权限),AliyunSTSAssumeRoleAccess(调用STS服务AssumeRole接口的权限)
    在这里插入图片描述
    创建成功后之后,可以在角色列表里面看到你刚才创建的角色信息-点击你刚才创建的角色
    在这里插入图片描述
    记录你的RAM角色名称和ARN信息(一会儿会用到)
    在这里插入图片描述

获取STS临时授权

阿里云OSS官方文档使用STS临时访问凭证SDK:使用STS临时访问凭证访问OSS

public AssumeRoleResponse buildAliyunSTSCredentials() throws ClientException, com.aliyuncs.exceptions.ClientException {
	// STS,这里我以杭州举例,具体你的Bucket地域节点是哪里的就填哪里
    DefaultProfile.addEndpoint("", "", "Sts", "sts.cn-hangzhou.aliyuncs.com");
    //这里需要填充你子账户的accessKeyId与accessKeySecret
    IClientProfile profile = DefaultProfile.getProfile("cn-hangzhou", accessKeyId, accessKeySecret);
    DefaultAcsClient client = new DefaultAcsClient(profile);
    final AssumeRoleRequest request = new AssumeRoleRequest();
    request.setMethod(MethodType.POST);
    request.setProtocol(ProtocolType.HTTPS);
    //设置临时访问凭证的有效时间为3600秒
    request.setDurationSeconds(60 * 60 * 1L);
    // 要扮演的角色ID-刚才你创建的角色详情里面ARN
    request.setRoleArn("acs:ram::12************41:role/RamTestAppReadOnly"); 
    // 要扮演的角色名称-刚才你创建的角色详情里面角色名称
    request.setRoleSessionName("external-username");
    // request.setPolicy(policy);

    // 生成临时授权凭证
    final AssumeRoleResponse response = client.getAcsResponse(request);
    // 临时凭据AccessKeyId
    String appKey = response.getCredentials().getAccessKeyId();  
    // 临时凭据AccessKeySecret
    String appSecret = response.getCredentials().getAccessKeySecret(); 
    // 临时凭据SecurityToken
    String securityToken = response.getCredentials().getSecurityToken();  
    String expiration = response.getCredentials().getExpiration();
    return response;

accessKeyId表示RAM子账号的AccessKeyId;
accessKeySecret表示RAM子账号的AccessKeySecret;
RoleArn表示的是需要扮演的角色ID,角色的ID可以在 角色管理 > 角色详情 中找到;
RoleSessionName是一个用来标示临时凭证的名称,一般来说建议使用不同的应用程序用户来区分;
DurationSeconds指的是临时凭证的有效期,单位是s,最小为900,最大为3600;
Policy表示的是在扮演角色的时候额外加上的一个权限限制;
appKey表示创建的临时凭据AccessKeyId;
appSecret表示创建的临时凭据AccessKeySecret;
SecurityToken 表示创建的临时凭据SecurityToken;

使用签名URL进行临时授权

阿里云OSS官方文档SDK 使用签名URL进行临时授权

 // 重写的方法以作参考
 public String getAuthorization(AssumeRoleResponse assumeRoleResponse, String fileName) {
        // 创建OSSClient实例。填充你的Endpoint与桶名称
        // yourEndpoint填写Bucket所在地域对应的Endpoint。以华东1(杭州)为例,Endpoint填写为https://oss-cn-hangzhou.aliyuncs.com。
        //这里替换成你自己的Endpoint和BucketName即可
        String endpoint = properties.getEndpoint();
        // 填写Bucket名称,例如examplebucket。
        String bucketName = properties.getBucketName();
        // 填写Object完整路径,例如exampleobject.txt。Object完整路径中不能包含Bucket名称。
		// String objectName = fileName;
        if (assumeRoleResponse == null){
            return null;
        }
        // 从STS服务获取的临时访问密钥(AccessKey ID和AccessKey Secret)。
        String accessKeyId = assumeRoleResponse.getCredentials().getAccessKeyId();
        String accessKeySecret = assumeRoleResponse.getCredentials().getAccessKeySecret();
        // 从STS服务获取的安全令牌(SecurityToken)。
        String securityToken = assumeRoleResponse.getCredentials().getSecurityToken();
        //获取oss client
        OSS ossClient = new OSSClient(properties.getEndpoint(), credentialProvider, configuration);
        // 设置签名URL过期时间为3600秒(1小时)。
        Date expiration = new Date(System.currentTimeMillis() + 3600 * 1000);
        // 生成以GET方法访问的签名URL,访客可以直接通过浏览器访问相关内容。
        URL url = ossClient.generatePresignedUrl(bucketName, fileName, expiration);
        System.out.println(url);
        // 关闭OSSClient。
        ossClient.shutdown();
        return url.toString();

当前返回url就是重新生成带有过期时候的临时授权访问地址
注意:以上方法是将你把你的Bucket设为了私有模式使用,正常公共读与公共读写不需要临时授权访问

总结

其实实现STS临时访问授权的过程就是

  1. 创建RAM子账号
  2. RAM子账号授予STS权限
  3. RAM子账号扮演指定角色
  4. 拿到临时授权凭证
  5. 将授权凭生成签名URL进行临时授权访问
    其中,如果你的子账户没有赋予上传的权限,那么这时候如果你的Bucket又是私有的话,上传是失效的,所以一开始建议将你创建的ARM子账户赋予一个上传的权限。否则你上传的时候也需要先获取STS授权才能上传。
Patiently_
关注
  • 4
    点赞
  • 26
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
前端js获取阿里云oss私有图片加参数及生成签名signature的sdk
08-30
前端js获取阿里云oss私有图片加参数及生成签名signature的sdk
解决阿里云OSS使用URL无法访问图片的两种方法
08-18
主要介绍了解决阿里云OSS使用URL无法访问图片的两种方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
java实现使用STS临时访问凭证访问阿里云OSS.zip
04-01
通过STS服务给其他用户颁发一个临时访问凭证。该用户可使用临时访问凭证在规定时间内访问您的OSS资源。临时访问凭证无需透露您的长期密钥,使您的OSS资源访问更加安全。 源码可供参考学习使用。
腾讯云对象存储COS 通过签名上传文件generatePresignedUrl()方法实践
最新发布
NightFa1l的博客
05-30 1059
教你通过腾讯云COS签名来上传文件
阿里云oss生成https的url
m0_48580015的博客
05-07 412
将endpoint参数加上https://如下图 (不添加默认是http)
阿里云OSS获取永久访问文件URL
weixin_41070914的博客
01-13 1万+
2542452
阿里云OSS私有private生成访问临时访问路径
weixin_44819877的博客
04-02 4228
阿里云OSS私有private生成访问临时访问路径
阿里云STS临时授权访问OSS
Fantasy
08-25 639
RAM帐号 阿里云控制台添加RAM子用户,附加AliyunSTSAssumeRoleAccess 策略,并下载${AccessKey ID}和 ${AccessKey Secret} RAM角色 阿里云控制台新建RAM角色,添加OSS相关策略,并记录下该角色的${ARN} 阿里云CLI 下载安装:https://help.aliyun.com/document_detail/121541.html?spm=a2c4g.11186623.6.545.583d1803KAEO2k 获取临时授权配置
阿里云OSS上传、下载和生成临时url授权第三方上传操作
热门推荐
慕言的博客
10-18 3万+
阿里云OSS的基础配置     private static String accessKeyId = "";     private static String accessKeySecret = "";     private static String bucketName = "";     private static String endpoint = "https://oss-cn...
阿里云OSS 临时授权用户访问参考
weixin_41997172的博客
12-28 6403
用户,用户组,角色,临时授权-权限策略
阿里云OSS,nodejs获取私有url
aku3927的博客
07-08 1220
nodejs版,上代码: // npm i ali-oss const OSS = require('ali-oss'); const client = new OSS({ accessKeyId: '你自己的key id', accessKeySecret: '你自己的key secret', bucket: 'bucket 名字', endpoint: 'bucket所处的地...
golang对接阿里云私有Bucket上传图片、授权访问图片.doc
07-10
本文档介绍了使用 Golang 对接阿里云私有 Bucket 上传图片和授权访问图片的过程。该过程分为三步:准备、设置 Bucket 和上传图片。 为什么要设置私有 Bucket阿里云中,Bucket 可以设置为公共或私有。公共 ...
阿里云OSS临时授权STS直传视频文件到OSS服务器教程(含所需的核心js代码)
12-30
首先,我们需要在后端服务器上配置STS服务,通过阿里云SDK生成带有上传权限的STS token。这个过程通常在PHP中完成,使用阿里云的SDK,调用AssumeRole接口来获取STS token。确保授予的权限仅限于OSS服务,并且设置...
调用阿里云OSS签名URL
HowYouth的博客
09-26 2728
业务场景 由于项目中未来会产生大批量的音视频文件,全部存在服务器本地将会占用大量的空间;因此决定使用阿里云对象存储服务(Object Stroage Service, OSS)实现文件上云;本地只保存最近3个月的文件,过期文件将会被删除。如果要查看过期文件,则先从OSS中下载该文件,然后再进行其他的常规操作。 因为是第一次使用OSS,因此前期做了大量的准备工作。在申请了公司的OSS账号之后,使用常规的上传下载会提示没有权限,因此在获取OSS连接时,需要加一个参数SecurityToken。而在我获取Secu
OSS私有权限Bucket配置STS获取私密链接
过于丰富,无法简介
07-08 1049
相关链接osss授权访问API 访问控制AssumeRole API STSJava示例 API RAM配置 配置RAM账号 创建ram账号,类型选错后面会报错,一定选阿里云账号,这样的RAM账号为用户角色 找到自己添加的RAM账号后授权(前两个为系统策略,第三个账号为自定义的,添加方式如下) 添加自定义策略 { “Version”: “1”, “Statement”: [ { “Effect”: “Allow”, “Action”: “oss:", “Resource”: [ "acs:os
oss 文件私有化的设置
coyote_的博客
06-19 3360
关于oss 文件私有化的设置 有这么一个需求,分享给用户一个链接,用户可以通过这个链接获取某个文件,设置某一段时间之后链接对应的文件失去下载权限,用户要想下载需要重新获取链接。 如果说对应文件在自己的服务器上面,那就好做了,各种骚操作随意添加。但是如果文件不在自己服务器上面的话,需要怎么做呢?查看oss的文档之后找到答案。 文件权限描述 具体实现的方法流程 文件上传之后,请求接口,将文件的公共权限设置为私有, 方法在对应的sdk 里边有 putObjectAcl 方法为文档下载的sdk 里边封装好的,直接
使用go语言获取阿里云oss临时授权,实现小程序直传文件到阿里云oss
sywdebug的博客
07-05 3451
的步骤一中下载“浏览器客户端代码”,下载后解压出来,有一堆文件,需要用到的有四个,分别是 base64.js,crypto.js,hmac.js,sha1.js。,之前是使用的客户端签名,也就是在小程序内签名后直接使用,但是因为使用小程序签名还需要引入一些文件,并且现在是自己写后端,所以试着学习写一下。这块本来不想写的,因为我们用的小程序,如果使用这个的话,需要小程序先上传到后端服务器,然后后端拿到文件再上传到 oss,没有直传来得方便。第四步骤的第二小步完成后将创建的权限策略授予了刚才创建的角色。
JS获取阿里云oss私有图片需要通过SDK加签名访问问题
铁锤妹妹的博客
10-30 2712
对于不允许匿名访问私有图片文件,不支持通过文件URL直接添加参数的方式处理图片,您需要通过`SDK`的方式将图片处理操作加入签名URL
阿里云oss url授权上传和下载
summer2233的博客
11-18 4013
使用阿里云oss进行文件上传,一般都是通过前端或者客户端直接将文件直接上传到oss,不过上传中需要oss账号和key, 直接暴露在客户端风险太大,查了下oss的使用文档,发现授权访问的方式保证账号安全,受实际环境限制,采用了签名URL进行临时授权的方式,客户端需要上传/下载的文件先向服务端请求授权,服务端生成签名url后返回给客户端,客户端使用该url在有效时间内可以不需要账号直接进...
解决阿里云oss使用url无法访问图片的两种方法
05-02
阿里云oss服务是一种云存储服务,可以用来存储各种格式的文件,包括图片。但在使用过程中,有时候会因为权限问题,导致通过url访问图片时出现403禁止访问或404 Not Found的错误。这时需要采取以下两种方法解决: 1. 配置Bucket权限 通过控制台进入Bucket,点击权限管理,设置存储空间的取和写入权限。选择公共取权限,这样即可保证该Bucket中的内容可以被公开访问,包括图片。同时,也可以在存储空间中创建子账号,按需分配权限,仅特定用户或应用可以访问包含图片的文件夹或文件。 2. 使用签名URL 签名URL是指为内容添加一个签名,该签名包含了授权信息和截止时间,使得即便bucket公开取权限为private,在给定时间以后,也能够使用该URL获取数据,并能够避免恶意的访问攻击。因为签名URL具有时效性和权限控制,所以签名URL方式更加安全可靠。 以上两种方法都可以解决阿里云oss使用url无法访问图片的问题,但签名URL方式更加安全,适用于需要控制访问权限的情况。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值