【阿里云OSS】访问控制

最新推荐文章于 2025-03-09 01:11:07 发布
最新推荐文章于 2025-03-09 01:11:07 发布
阅读量3.1k 收藏 4
点赞数 1
分类专栏: 云服务 文章标签: 阿里云
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sayyy/article/details/122450033
版权

目录

前言

  • OSS API接口版本,2022-01-12

概念

OSS提供的权限控制策略

  • RAM Policy(基于用户的授权策略):在RAM 控制台中进行授权
  • Bucket Policy(基于资源的授权策略):在Bucket 控制台中进行授权
  • Bucket ACL(Bucket级别的读写权限ACL):对匿名用户授权
  • Object ACL(Object级别的读写权限ACL):对匿名用户授权

RAM Policy

Bucket Policy

  • Bucket -> 权限管理 -> Bucket 授权策略 中设置 Bucket Policy
    在这里插入图片描述
  • 设置 Bucket Policy
    在这里插入图片描述
    • 授权资源:整个Bucket、指定资源
    • 授权用户:匿名帐户、子账号、其他账号
    • 授权操作:只读、读/写、完全控制、拒绝访问
  • 使用STS临时授权访问OSS时,Bucket Policy起效

Bucket ACL

  • Bucket -> 权限管理 -> 读写权限 中设置 Bucket ACL
    在这里插入图片描述
  • 设置 Bucket ACL
    在这里插入图片描述

Object ACL

  • Bucket -> 文件管理 -> 上传文件 中设置 Object ACL
    在这里插入图片描述

  • 设置 Object ACL
    在这里插入图片描述

当Bucket同时存在多个权限控制策略(如RAM Policy、Bucket Policy、Bucket ACL、Object ACL)时的鉴权流程

当Bucket同时存在多个权限控制策略(如RAM Policy、Bucket Policy、Bucket ACL、Object ACL)时,详细鉴权流程请参见OSS鉴权详解
概括一下:

  • 检查STS临时授权,如果有权限则允许访问,否则,检查读写权限ACL。
  • 检查读写权限ACL(先检查Object ACL,再检查Bucket ACL),如果有权限则允许访问,否则拒绝访问。

使用STS临时授权访问OSS

参考使用STS临时授权访问OSS

OSS资源允许匿名访问的设置

方式1:Bucket ACL 设置成公共读

在这里插入图片描述
官方不建议这个方式,那就尽量别用。了解一下好了。

方式2:Object ACL 设置成公共读

在这里插入图片描述
每个资源都要设置一次,显得很繁琐,这个也尽量别用。
这个方式还不如上一个呢。

方式3:Bucket Policy 设置指定目录

在这里插入图片描述

OSS资源匿名访问

在这里插入图片描述

  • url 形如:https://xxx.xxx.cn/static/1.jpg
  • 注意:通过阿里云域名生成的文件URL访问图片时,默认是下载行为。如需确保通过文件URL访问图片时是预览行为,您需要绑定自定义域名并添加CNAME记录。具体操作,请参见绑定自定义域名。

在这里插入图片描述

使用STS临时授权访问OSS

在这里插入图片描述

  • url 形如:https://xxx.xxx.cn/static/1.jpg?Expires=1641975234&OSSAccessKeyId=xxxxx&Signature=xxxxx
  • 注意:通过阿里云域名生成的文件URL访问图片时,默认是下载行为。如需确保通过文件URL访问图片时是预览行为,您需要绑定自定义域名并添加CNAME记录。具体操作,请参见绑定自定义域名。
阿里云OSS开启Sts临时访问控制
故事码的博客
03-08 1353
阿里云OSS开启Sts临时访问控制 第一步、信息整理汇总 下面是整个过程中需要记录的数据,以及位置 其中AccessKey需要创建成功后,及时的记录,因为后续只会展示一个AccessKeyId,另外一个AccessKeySecret是非常重要的 名称和数据 位置 bucket名称和endpoint 对象存储oss-》Bucket列表 策略的脚本和策略的名称 访问控制 -》权限策略 角色ARN 访问控制 -》 角色详情 AccessKey 访问控制 -》用户详情 第二步:进入控
阿里云OSS访问权限配置(RAM权限控制)实现
01-09
包括使用PHP、Vue.js、ThinkPHP、Laravel、SpringBoot、Yii2.0等开发语言或框架与阿里云OSS的集成,以及Nginx代理转发和阿里云OSS上传的实现代码,这些都能帮助开发者更好地理解和运用阿里云OSS的权限控制和集成技术...
oss子账号_企业级共享网盘新思路——玩转OSS控制访问
weixin_39820997的博客
12-22 282
本文介绍阿里云OSS五种访问控制方法及其使用场景,您可根据需求灵活组合,快速搭建企业级共享网盘。不久前阿里云网盘Aliyundrive宣布公测,在个人网盘市场重掀热潮,“不限速&2T大容量”的特性让众多网友直呼“良心盘”。相较于个人用户存储、备份的需求,企业用户在“可控制的资源共享”方面的需求更为强烈。阿里云网盘Aliyundrive依托的阿里云存储,多年来深耕于云存储技术,打造了稳定、可...
2025年阿里云OSS的开通(保姆级)与配置及Java项目集成实战
最新发布
2201_75525624的博客
03-09 2232
本文详细讲解了阿里云OSS的开通流程、配置方法以及在Java项目中的集成与使用。通过本文,你将掌握如何快速上手阿里云OSS,并在实际项目中实现文件的高效存储与管理。在当今的互联网应用开发中,文件存储是一个至关重要的环节。阿里云对象存储OSS(Object Storage Service)凭借其高效、安全、可靠的特性,成为了众多开发者首选的存储解决方案。本文将带你一起探索阿里云OSS的开通、配置以及在Java项目中的应用。本文详细学习了阿里云OSS的开通流程、配置方法以及在Java项目中的集成与使用。
阿里云OSS访问小记
flyweight_visitor的博客
02-27 2436
阿里云OSS访问小记OSS访问OSS权限配置OSS客户端配置OSS客户端常见命令错误记录 OSS访问 OSS做为一种SAAS层应用,有开箱即用的特点。创建bucket,bucket名称要求在本region内唯一。 OSS权限配置 OSS权限首先设置ACL,然后基于RAM的子账号可以设置细颗粒度的Bucket授权策略。 设置ACL为公共读或者私有,不建议公共读写。此处设置公共读,私有写 根据规划创建RAM子账号及其AK和SK。AK和SK要保存好。 针对bucket设置整个bucket级别或者目录级或者文件级
OSS访问控制介绍
weixin_34194379的博客
09-06 897
摘要本文主要介绍 OSS 安全管理中访问控制相关的基本概念、机制和使用方法。 背景 OSS作为阿里云的对象存储产品具有快速数据存取无限水平扩展数据容灾等优点可满足海量数据存储需求已服务大量的用户。和任何数据存储一样安全是一个关键特性。用户通过HTTP调用OSS提供认证需要的密钥。因为数据可能通过公共互联网传输这些密钥就是身份凭证而非普通的用户/密码组合...
MFC访问阿里云Oss平台
大昱的博客
05-11 841
使用阿里云Oss官方提供的C开发包编译时会遇到一些小问题,比如“error LNK2019: 无法解析的外部符号”、缺少文件“libapr-1.dll”等,针对这些问题修改项目后,并且把函数封装成类函数方便使用。 首先说下增加的功能: 1.下载bucket下所有文件(不包括bucket中文件夹内的文件); 2.获取bucket下所有文件名称以及一级文件夹(最接近bucket的...
java实现使用STS临时访问凭证访问阿里云OSS.zip
04-01
Java 实现使用STS(Security Token Service)临时访问凭证访问阿里云OSS(Object Storage Service)是一种安全的访问控制策略STS允许您为第三方或者短期任务分配一个临时的、有限权限的访问令牌,而不是直接分享您...
苍穹外卖阿里云oss存储笔记
08-23
在"苍穹外卖阿里云oss存储笔记"中,我们可以深入探讨关于阿里云OSS的使用和管理。 1. **对象存储概念**:对象存储是一种基于网络的数据存储方式,不同于传统的文件系统或块存储,它以对象为基本单位进行数据管理。...
解决阿里云OSS使用URL无法访问图片的两种方法
08-18
在使用阿里云OSS时,可能会遇到通过URL无法正常访问图片的问题,这通常涉及到权限设置和HTTP头部信息的配置。本文将详细介绍两种解决这个问题的方法。 **一、问题概述** 1. **XML代码显示**:当尝试通过URL访问OSS...
Spring Boot配置属性
Sucrapipple的博客
09-27 85
在$ROOT/common/.../propoties下读取配置(AliOssUtil.java已在common模块中定义 )在$ROOT/server/.../conifg下配置,生成工具类对象。定义上传文件的controller。
阿里云OSS配置跨域及域名访问
云深海阔专栏
05-14 7573
进入对象存储OSS–>OSS存储桶–>数据安全–>跨域设置–>创建规则。选中后点击上传会提示15分钟生效。证书如下,最后选中新加的证书。切换到数据管理–>静态页面。验证生效后,配置ssl证书。等个几分钟后我们点击。
使用阿里云STS临时账户进行OSS文件操作权限问题
MoonshineWoo的专栏
03-29 2066
今天一同事在用临时账户对上传到oss服务器的文件进行crc64校验的时候用ossClient对象获取ossObject的时候 提示Access denied by authorizer's policy. 看返回的提示信息应该是权限的问题,同事那边的临时账户是调用我这边的接口来获取,所以我猜想问题应该是在我这边,这个问题通过阿里云提供的文档来看是临时用户没有权...
Android Java 阿里云OSS授权访问、访问控制和Accesskeys 示例代码
天镜baobao的博客
10-09 5323
一、概述 阿里云OSS的授权访问主要分为两大步骤 服务端传入endpoint、accessKeyId和accessKeySecret等参数利用SDK获取链接。 客户端向服务端请求链接,然后自行处理(当然也可以使用SDK来直接下载文件) 那么现在有几个问题。 a)endpoint、accessKeyId和accessKeySecret分别在哪里获取? 字段 获取 示例 endpo...
关于阿里云OSS资源STS访问控制
m0_49194578的博客
04-21 5880
目前还在看 什么是STS AssumeRole RAM角色和STS Token常见问题 RAM Policy常见示例 使用TST临时访问凭证访问OSS 做一下记录,稍后来补
阿里云如何配置访问OSS文件时是预览行为
shixuyong的博客
03-15 3858
阿里云如何配置访问OSS文件时是预览行为
如何通过固定IP访问阿里云OSS
Habo_的博客
02-01 1592
在某些场景会需要为OSS提供一个固定IP提供给用户访问,比如客户要求提供OSS固定IP进行客户层面的白名单授权,阿里云OSS提供的是域名方式访问的而域名背后对应的是多个IP,在OSS有维护或者遭受网络攻击情况都会更换,所以阿里云服务端层面是无法固定OSS的IP的。面对这种场景,如果我们不能给客户提供一个固定OSS的IP可能会导致客户无法给访问我们的资源带来一系列问题。所以针对这种场景我们可以使用nginx反向代理来实现。
阿里云STS临时访问凭证访问OSS相关配置
qq_41976826的博客
11-08 1463
临时访问凭证有效时间单位为秒,最小值为900,最大值以当前角色设定的最大会话时间为准。,然后在策略文档输入框中赋予角色向目标存储空间examplebucket执行简单上传(oss:PutObject)和下载文件(oss:GetObject)的权限。d.在添加权限页面下的自定义策略页签,选择已创建的自定义权限策略RamTestPolicy。e.在基本信息区域,填写策略名称为RamTestPolicy,然后单击确定。RAM用户的AccessKey Secret只在创建时显示,后续不支持查看,请妥善保管。
OSS访问控制
suns的专栏
08-20 7193
OSS
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值