OSS之访问控制

最新推荐文章于 2024-04-15 18:06:08 发布
最新推荐文章于 2024-04-15 18:06:08 发布
阅读量6.9k 收藏 3
点赞数
分类专栏: 云存储 文章标签: 阿里云
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011677050/article/details/77430873
版权

1. OSS之AccessKey

OSS提供了对象存储服务,在访问OSS资源时,根据访问者的信息可分为匿名访问和带签名访问。 在OSS中签名涉及的AccessKey主要有三种:

  • 阿里云账号AccessKey:云账号AccessKey对拥有的资源有完全的权限,每个阿里云账号能够同时拥有不超过5个active或者inactive的AK对(AccessKeyId和AccessKeySecret);
  • RAM子账号AccessKey:RAM (Resource Access Management) 是阿里云提供的资源访问控制服务;RAM账号AK指的是通过RAM被授权的AK,这组AK只能按照RAM定义的规则去访问Bucket里的资源;通过RAM,您可以集中管理您的用户(比如员工、系统或应用程序),以及控制用户可以访问您名下哪些资源的权限;
  • STS账号AccessKey:STS(Security Token Service)是阿里云提供的临时访问凭证服务,STS账号AK指的是通过STS颁发的AK;

相应有三种验签方式:AK验证/RAM验证/STS验证;

2. OSS之权限控制

OSS提供了多种形式的权限控制:Bucket级别权限/Object级别权限/账号级别权限(RAM)/临时账号权限(STS),具体如下:

  • Bucket级别权限:三种访问权限:public-read-write/public-read/private
    这里写图片描述

  • Object级别权限:四种访问权限:private/public-read/public-read-write/default,具体如下:
    这里写图片描述

  • 账号级别权限(RAM):阿里云账号通过RAM创建自己AccessKey的子用户时,可通过Policy的配置方式指定授权内容,Policy具体见下节;

  • 临时账号权限(STS):通过阿里云STS (Security Token Service) 服务为阿里云账号(或RAM用户)提供的短期访问权限,通过STS生成的凭证包括安全令牌(SecurityToken)、临时访问密钥(AccessKeyId, AccessKeySecret),可通过Policy的配置方式指定授权内容,Policy具体见下节;

3. OSS之Policy

{
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "oss:GetBucketAcl",
                "oss:ListObjects"
            ],
            "Resource": [
                "acs:oss:*:1775305056529849:mybucket"
            ],
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "acs:UserAgent": "java-sdk",
                    "oss:Prefix": "foo"
                },
                "IpAddress": {
                    "acs:SourceIp": "192.168.0.1"
                }
            }
        },
        {
            "Action": [
                "oss:PutObject",
                "oss:GetObject",
                "oss:DeleteObject"
            ],
            "Resource": [
                "acs:oss:*:1775305056529849:mybucket/file*"
            ],
            "Effect": "Allow",
            "Condition": {
                "IpAddress": {
                    "acs:SourceIp": "192.168.0.1"
                }
            }
        }
    ]
}

这是一个授权的Policy,用户用这样的一个Policy通过RAM或STS服务向其他用户授权。Policy当中有一个Statement(一条Policy当中可以有多条Statement)。Statement里面规定了相应的Action、Resource、Effect和Condition。

这条Policy把用户自己名下的mybucket和mybucket/file*这些资源授权给相应的用户,并且支持GetBucketAcl、GetBucket、PutObject、GetObject和DeleteObject这几种操作。Condition中的条件表示UserAgent为“java-sdk”,源ip为“192.168.0.1”的时候鉴权才能通过,被授权的用户才能访问相关的资源。Prefix这个Condtion是在GetBucket(ListObjects)的时候起作用的,关于这个字段的解释详见OSS的API文档。

具体项含义请转官网:访问控制

4. OSS之访问实例

  • 使用AppServer来做数据中转和数据隔离:
    这里写图片描述
    如上图所示,只有AppServer能访问云服务,ClientApp的每次读写数据都需要通过AppServer,AppServer来保证不同用户数据的隔离访问,对于该种使用方式,使用阿里云账号或者RAM账号提供的密钥来进行签名验证访问;避免出现安全问题,通常不使用阿里云账号;

  • 使用STS让用户直接访问OSS:
    这里写图片描述

    1. App用户登录。App用户和云账号无关,它是App的终端用户,AppServer支持App用户登录。对于每个有效的App用户来说,需要AppServer能定义出每个App用户的最小访问权限;
    2. AppServer请求STS服务获取一个安全令牌(SecurityToken)。在调用STS之前,AppServer需要确定App用户的最小访问权限(用Policy语法描述)以及授权的过期时间。然后通过扮演角色(AssumeRole)来获取一个代表角色身份的安全令牌,角色管理与使用相关内容请参考RAM用户指南中的角色管理;
    3. STS返回给AppServer一个有效的访问凭证,包括一个安全令牌;(SecurityToken)、临时访问密钥(AccessKeyId, AccessKeySecret)以及过期时间;
    4. AppServer将访问凭证返回给ClientApp。ClientApp可以缓存这个凭证。当凭证失效时,ClientApp需要向AppServer申请新的有效访问凭证。比如,访问凭证有效期为1小时,那么ClientApp可以每30分钟向AppServer请求更新访问凭证;
    5. ClientApp使用本地缓存的访问凭证去请求Aliyun Service API。云服务会感知STS访问凭证,并会依赖STS服务来验证访问凭证,正确响应用户请求;

5. 参考

deepblueskys
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
oss接口手册
10-08
阿里云对象存储服务(Object Storage Service,简称OSS),是阿里云对外提供的海量,安全,低成本,高 可靠的云存储服务。用户可以通过本文档提供的简单的REST接口,在任何时间、任何地点、任何互联网设备上 进行上传和下载数据。基于OSS,用户可以搭建出各种多媒体分享网站、网盘、个人和企业数据备份等基于大 规模数据的服务。
第三方存储系统(一):阿里云OSS云存储配置及Java上传接口设计
qq_36857572的博客
07-21 6808
第三方存储系统(一):阿里云OSS云存储配置及Java上传接口设计 项目开发中,为了实现静态资源分离,提高系统运行的速率和稳定性,我们会把资源文件剥离出项目系统.而搭建文件存储系统就成为了不可或缺的工作,目前中小型企业为了节约成本,更喜欢购买第三方存储服务,如阿里云OSS,七牛云,腾讯云存储等. 阿里云OSS和七牛云各有优点,阿里云OSS背靠阿里云大厂商,用户基数大,服务稳定性高.七牛云免费额...
OSS访问控制介绍
weixin_34194379的博客
09-06 779
摘要本文主要介绍 OSS 安全管理中访问控制相关的基本概念、机制和使用方法。 背景 OSS作为阿里云的对象存储产品具有快速数据存取无限水平扩展数据容灾等优点可满足海量数据存储需求已服务大量的用户。和任何数据存储一样安全是一个关键特性。用户通过HTTP调用OSS提供认证需要的密钥。因为数据可能通过公共互联网传输这些密钥就是身份凭证而非普通的用户/密码组合...
阿里云OSS,nodejs获取私有private buckets 图片url
lert707的博客
04-22 1786
nodejs版,上代码: // npm i ali-oss const OSS = require('ali-oss'); const client = new OSS({ accessKeyId: '你自己的key id', accessKeySecret: '你自己的key secret', bucket: 'bucket 名字', endpoint: 'bucket所处的地...
OSS在private权限下的无参数访问(Nginx反向代理实现) ...
测试0901-1
03-20 1405
本文主要介绍内容 oss默认权限策略是private,当修改到public-read或更高权限时会提示存在安全风险。如果需要访问oss资源需要在地址上添加签名内容,不利于地址的存储和使用。本文会介绍如何利用nginx反向代理实现private权限下无参数访问oss资源。 运行环境说明 本文实现环境是:Centos7 系统 + nginx: 1.14.1...
阿里云OSS对象存储服务使用
Janet的博客
03-30 1917
1. 简介 (略---) 2. 开通OSS服务 进入官网:https://ecs.console.aliyun.com/ 进入到控制台 3. OSS使用 1)创建bucket 创建成功: 2)在bucket中创建目录 可以在这上传文件: (首次操作可能需要验证手机) 4. Java 程序调用OSS服务接口 1)参考文...
阿里云OSS访问控制
sayyy的专栏
01-12 2709
目录前言概念OSS提供的权限控制策略RAM PolicyBucket PolicyBucket ACLObject ACL当Bucket同时存在多个权限控制策略(如RAM Policy、Bucket Policy、Bucket ACL、Object ACL)时的鉴权流程使用STS临时授权访问OSSOSS资源允许匿名访问的设置方式1:Bucket ACL 设置成公共读方式2:Object ACL 设置成公共读方式3:Bucket Policy 设置指定目录OSS资源匿名访问使用STS临时授权访问OSS 前言
笔记分享二
yun_chuan的博客
04-24 125
实战营第二课笔记分享——用OSS上传和展示图片 原理 在用户的浏览器端函数计算派发一个签名,用这个签名直接访问oss的文件存储,由此上传文件并且能够展示文件 纲要 OSS对象存储实例创建 可以根据阿里云提供的文档进行相关配置OSS文件浏览器直传方案 ①在阿里云平台搜索oss,点击对象存储OSS ②若没有开通服务,需要开通 ③点击Bucket列表,创建Bucket ④输入Bucket名称,并且选择地域,注意图中标出的地方最好不要开通,收费的 ⑤进行权限管理,如图跨域设置,根据阿里云提供的文档
OSS Browser的使用
谢公子的博客
06-28 4761
目录 AK登录 授权码登录 管理Bucket存储桶 ossbrowser是阿里云官方提供的OSS图形化管理工具,提供类似Windows资源管理器的功能。 OSS Browser官方版支持 AK(AccessKey)登录 和 临时授权码 登录两种模式。 AK登录 使用AK登录ossbrowser,您可以使用AK(比如子账号AK)登录使用ossbrowser。不推荐使用主账号AK登录。 登录RAM控制台创建子账号,子帐号的权限分为: 大权限子账号(即拥有所有Bucket权限,且...
教程示例:控制存储空间和文件夹的访问权限
weixin_33800593的博客
07-04 1909
本教程示例详细演示了如何控制用户对 OSS 存储空间和文件夹的访问。在示例中,我们首先创建一个存储空间和文件夹,然后使用阿里云主账号创建访问管理 (RAM) 用户,并为这些用户授予对所创建 OSS 存储空间及文件夹的增量权限。 存储空间和文件夹的基本概念 阿里云 OSS 的数据模型为扁平型结构,所有文件都直接隶属于其对应的存储空间。因此,OSS 缺少文...
阿里云OSS访问权限配置(RAM权限控制)实现
09-14
主要介绍了阿里云OSS访问权限配置(RAM权限控制)实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
aliyun-oss-sdk-6.1.1.min.js
09-03
详情请参见访问控制。 环境要求 OSS Browser.js SDK基于Node.js环境构建,通过Browserify和Babel产生适用于浏览器的代码。 但是由于浏览器环境的特殊性,无法使用以下功能: 流式上传:浏览器中无法设置chunked...
文件对象管理器(集成MinIO、阿里云OSS基本操作及临时token获取)
04-05
文件对象管理器(集成MinIO、阿里云OSS基本操作及临时token获取)
vue页面使用阿里oss上传功能的实例(二)
12-12
本文主要介绍OSS管理控制台设置访问权限、角色等。分享给大家,具体如下: 进入控制台,鼠标移到右上角用户名处,点击“访问控制”,如下图: 如果没有此功能,则将鼠标移至 产品 -> 管理与控制,点击 访问控制...
Centos7 一键yum阿里云源脚本;一键安装docker docker-compse ;一键安装 GParted;
Franciz777的博客
04-15 443
docker-compose文件需要提前下载。
阿里云4核16G服务器可以用来做什么?
jiayou2017的博客
04-12 930
阿里云4核16G服务器可以用来做什么?可用来搭建游戏服务器,阿里云4核16G服务器10M带宽30元1个月、90元3个月,优惠活动阿里云4核16G服务器可以用来做什么?除了搭建游戏服务器,还可以用来哪些事情?阿里云ECS云服务器可以用来做什么?4核16G云服务器可以用来搭建网站、爬虫、邮件服务器、接口服务器、个人博客、企业官网、数据库应用、大数据计算、AI人工智能、论坛、电子商务、AI、LLM大语言模型、测试环境等,云服务器吧yunfuwuqiba.com整理阿里云服务器可以干嘛?
云数据库价格一瞥(华为云、百度智能云、腾讯云、阿里云
Foolforuuu的博客
04-09 1669
最近,大家似乎和价格“磕”上了。本文仅考虑主流产品( RDS MySQL、Redis )的部分主流规格,对各家厂商的价格做一个对比,供参考。TL;DR:总体来看,各家云厂商价格趋于持平,部分主流商品百度智能云、华为云更便宜。RDS MySQL 的单机版本,意外的是百度智能云的价格明显最低,小规格几乎是其他厂商价格的三分之一。RDS MySQL 双机高可用通用规格,华为云的价格最低,百度云、腾讯云其次。
阿里云2核2G服务器可以干什么?
jiayou2017的博客
04-12 892
阿里云2核2G服务器可以干什么?2核2G云服务器可以用来搭建网站、爬虫、邮件服务器、接口服务器、个人博客、企业官网、数据库应用、大数据计算、AI人工智能、论坛、电子商务、AI、LLM大语言模型、测试环境等,目前2核2G阿里云服务器61元一年,老用户99元一年,优惠活动云服务器吧yunfuwuqiba.com整理阿里云服务器可以干嘛?
Java-GUI介绍和使用
最新发布
04-18
GUI API包含的类分为三个部分:组件类(component class) 容器类(container class),和辅助类(helper class) 1. 组件类是用来创建用户图形界面的,例如JButton,JLabel,JTextField. 2. 容器类是用来包含其他组件的,例如JFrame,JPanel 3. 辅助类是用来支持GUI组件的,例如Color,Font
访问阿里云oss图片失败
07-17
阿里云OSS提供了丰富的权限控制机制,可以通过私有、公共读、公共读写等权限设置来控制对象的访问。如果没有正确的权限设置,可能无法正常访问OSS图片。此时,可以检查访问对象的权限设置,并确保拥有足够的访问权限...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值