只需一步:创建oss bucket并控制访问权限

最新推荐文章于 2024-05-13 13:56:30 发布
最新推荐文章于 2024-05-13 13:56:30 发布
阅读量2.5k 收藏 1
点赞数
文章标签: java javascript ViewUI
原文链接:https://yq.aliyun.com/articles/7728
版权

本文介绍怎样利用阿里云资源编排服务(ROS),一步创建阿里云资源(以OSS为例)、创建多个子帐号,并付给子帐号不同的资源访问权限。

先试为快,一步创建 >>

资源编排的RAM功能介绍

阿里云资源访问控制服务(RAM),帮助您把不同的资源权限分配给特定的用户(比如员工、系统或应用程序),达到最小特权的安全实践。例如,授权某个子用户管理两台指定的ECS实例。

资源编排服务按照三种粒度进行访问控制:

  • ALIYUN::RAM::User

    • 给当前账号创建子账号,同时给子帐号指定授权策略

  • ALIYUN::RAM::Group

    • 创建用户组,如果给组指定授权策略,组中的每个用户都默认拥有了相同的访问权限

  • ALIYUN::RAM::Role

    • 创建角色,如果给角色设置授权策略,那么扮演此角色的用户即拥有了此访问权限

给子用户授权OSS访问的实践

应用场景:

在某款app的开发过程中,需要将部分数据存储到oss中。管理员创建ros-bucket,考虑到权限隔离的问题,开发小组中只有liSir拥有ros-bucket的读写权限,其他人只有只读权限,逻辑结构如下图:

screenshot

实践:

  • 创建Bucket(ros-bucket)

    • 作为被访问的资源
  • 创建用户组Group(devGroup)

  • 创建两个User

    • User(liSir)
    • User(developer), 加入用户组 devGroup

  • 创建两个Policy

    • fullAccessPolicy 拥有bucket的读写权限,并为组devGroup授权
    • readOnlyPolicy 拥有bucket的只读权限,并为User(liSir)授权

创建Bucket

ALIYUN::OSS::Bucket 参考模板定义AccessControl配置为private。只有当前账号可以对该bucket内的Object进行读写操作。

"Resources": {
    "MyBucket": {
      "Type": "ALIYUN::OSS::Bucket",
      "Properties": {
        "AccessControl": "private",
        "BucketName": "ros-bucket"
      }
    }
  }

创建Group

ALIYUN::RAM::Group 参考模板定义,这里定义组名为devGroup。

"Resources": {
    "devGroup": {
      "Type": "ALIYUN::RAM::Group",
      "Properties": {
        "GroupName": "devGroup"
      }
    }
  }

创建两个User

ALIYUN::RAM::User 参考模板定义,创建两个子帐号,并分别配置登录名和密码。然后把developer加入到组devGroup。

"Resources": {
    "liSir": {
      "Type": "ALIYUN::RAM::User"
      "Properties": {
        "UserName": "liSir",
        "LoginProfile": {
            "Password": "123456789"
        }
      }
    },
    "developer": {
      "Type": "ALIYUN::RAM::User",
      "Properties": {
        "UserName": "developer",
        "LoginProfile": {
            "Password": "123456789"
        },
        "Groups": [
          "Fn::Join": ["",
              [
                "Fn::GetAtt" : [ "devGroup", "GroupName"]
              ]
          ]
        ]
      }
    }
  }

创建两个Policy

ALIYUN::RAM::ManagedPolicy 参考模板定义。Policy语法定义参考

  • fullAccessPolicy

    • 允许oss类型资源的所有操作
    • 然后为User(liSir)授权

  • readOnlyPolicy

    • 允许对oss类型资源进行获取bucket列表操作。
    • 然后限制对MyBucket只能进行读取操作。
    • 最后为组(devGroup)授权
"Resources": {
    "fullAccessPolicy": {
      "Type": "ALIYUN::RAM::ManagedPolicy",
      "Properties": {
        "PolicyName": "fullAccessPolicy",
        "PolicyDocument" : {
            "Version": "1",
            "Statement" : [{
               "Effect" : "Allow",
               "Action" : [ "oss:*" ],
               "Resource" : ["acs:oss:*:*:*"]
            }]
         },
         "Users": [
             "Fn::Join": ["",
              [
                "Fn::GetAtt" : [ "liSir", "UserName"]
              ]
            ]
         ]       
      }
    },
    "readOnlyPolicy": {
      "Type": "ALIYUN::RAM::ManagedPolicy",
      "Properties": {
        "PolicyName": "readOnlyPolicy",
        "PolicyDocument": {
            "Version": "1",
            "Statement" : [{
              "Effect": "Allow",
              "Action": [
                "oss:ListBuckets"
              ],
              "Resource": [
                "acs:oss:*:*:*"
              ]
            },
            {
              "Effect": "Allow",
              "Action": [
                "oss:GetObject",
                "oss:ListObjects"
              ],
              "Resource": [
                "Fn::Join": ["",
                    [
                      "acs:oss:*:*:",
                      "Fn::GetAtt" : [ "MyBucket", "Name"]
                    ]
                ]
              ]
            }]
        },
        "Groups": [
            "Fn::Join": ["",
              [
                "Fn::GetAtt" : [ "devGroup", "GroupName"]
              ]
            ]
        ]
      }
    }
  }

验证(以控制台为例)

  • 用子帐号liSir登录oss控制台,可以对ros-bucket进行上传文件、删除文件等任何操作。例如,可以上传几个文件,如下图所示:

liSir

  • 用子帐号developer登录控制台并上传文件, 系统提示没有权限。如下图所示:

developer

weixin_34106122
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
浅谈阿里云oss鉴权机制(解决文件url被分享出去,不想被其他人访问的问题)
打怪升级开宝箱的博客
04-25 8792
前言:现在大多数互联网公司都会用阿里云oss,但是有些公司对于上传的文件安全性要求性较高,有些文件的URL不能够随便被用户访问到,这就用到了oss的权限控制 一,阿里云oss权限控制方式有:读写权限,Bucket 授权策略,访问控制 RAM,防盗链,跨域设置 这个可以直接登陆阿里云控制oss的权限管理设置,其中我们主要去了解读写权限 二,读写权限: 对象存储OSS提供Buck...
php s3 创建bucket,创建 Bucket
weixin_35848310的博客
03-28 404
描述本接口用于创建一个新的 Bucket。此接口不支持匿名请求。您可以在请求参数中指定存储区域,例如,您在华东,选择华东存储区域可以减少延迟、降低成本。请求语法POST /mkbucketv3//region/ HTTP/1.1Host: rs.qbox.meContent-Type: application/x-www-form-urlencodedAuthorization: Qiniu 使用...
阿里云OSS权限开通步骤及最佳实践
最新发布
变个魔术
05-13 596
您可以正确配置和管理阿里云OSS的权限,确保数据的安全和访问控制。合理控制权限将有助于提高存储空间的安全性,并为团队提供更好的管理和协作体验。希望这篇博文能对您有所帮助,如果您有任何问题或要更多详细信息,请随时向我提问。
【最佳实践】如何通过OSSBucket Policy设置访问授权?
weixin_34357436的博客
07-03 4801
如何让1个外部用户访问某个OSS资源?  某大型企业A使用OSS作为后端资源存储平台,当该企业期望将内部数据分享给下游合作伙伴B,那么基于阿里云OSS平台,有多少种方式呢? 方式1:基于Bucket 以及Object ACL:  Bucket 所有者将要分享的文件ACL设置为“Public”模式,那么外部用户可以直接访问该文件的URL,而不要通过身份...
阿里云oss对象存储
m0_71621983的博客
04-12 2095
简单使用阿里云OSS对象存储
阿里云阿里云OSS对象存储— 开通OSS服务、搭建OSS环境、快速入门
四季轮换叶,一路招摇胜
05-25 3013
阿里云阿里云OSS对象存储— 开通OSS服务、搭建OSS环境、快速入门
阿里云-OSS-Bucket的使用:001
Rainbow
03-18 459
这是一款通过客户端进行文件处理的工具,点击下载 windows-64bit,找到 --> 对象存储/常用工具与服务/常用工具。ii. AccessKey 管理。iiii. 根据提示保存创建好的。解压后找到文件夹里面的。,双击打开进入客户端。
AliossUploader:layui 阿里云OSS上传插件
06-09
- 要在阿里云控制创建Bucket并获取访问密钥。 - 确保安全设置允许Web端访问,如CORS配置。 - 对于生产环境,务必对AccessKey信息进行加密处理,避免泄露。 6. **优化与扩展** - 可以结合layui的其他组件,...
oss:个人图片存储
02-19
4. **成本效益**:采用按付费模式,只支付实际使用的存储空间和流量费用。 **二、个人图片存储的优势** 1. **便捷访问**:支持HTTP/HTTPS协议,用户可以随时随地通过网络访问存储的图片。 2. **容量无限**:...
Unity2021 Aliyun.OSS.SDK
09-13
4. **权限控制**:通过签名URL或者Access Key,SDK支持设置不同级别的访问权限,确保资源的安全性。 5. **断点续传**:对于大文件,SDK支持断点续传功能,即使在上传过程中网络中断,也可以从上次中断的地方继续...
oss:图像库
03-13
5. **安全机制**: OSS支持多种安全措施,如Access Key认证、签名URL、防盗链策略、bucket权限控制等,确保数据的安全。 6. **数据备份与恢复**: 自动备份和多版本控制功能使得OSS成为可靠的灾备解决方案。用户可以...
aliyun-php-sdk-oss.zip
11-10
6. **权限管理**:通过SDK设置Bucket访问权限,可以控制不同用户对OSS资源的访问。 7. **访问控制列表(ACL)**:允许开发者设置对象或Bucket访问权限,如公共读写、私有等。 8. **签名和凭证**:SDK内部处理...
OSS-修改BUCKET权限
walle167的博客
08-03 3556
想要通过浏览器直接访问文件 要开通权限是 public-read。在linux 服务器上可以使用命令行工具 ossutil。OSSbucket 默认权限是 private。几个核心命令: stat, set-acl,先查询 bucket的 acl 权限是什么。OSS 访问文件报错。...
阿里云OSS】403错误,AccessDenied:The bucket you access does not belong to you.
热门推荐
sayyy的专栏
09-25 1万+
前言 Browser.js 6.x Browser.js 官方文档:https://help.aliyun.com/document_detail/64040.html GITHUB地址:https://gitee.com/mirrors/ali-oss GITEE镜像地址:https://github.com/ali-sdk/ali-oss 示例:列出所有对象(测试bucket,对象数量较少) <html> <head> </head> <body>&l
出现Cross-Origin Read Blocking (CORB) blocked cross-origin response 报错解决方法
desjs7499的博客
05-10 1万+
1.错误分析 这里我调用的是qq音乐的一个接口 所有的的参数 都和qq音乐那边的保持一致。 当我 console.log所抓取数据时,查看控制台时发现了以下错误 其实禁止跨域请求是浏览器本身的一种安全策略。 2.跨域资源共享(Cross-Origin-Resource-Sharing) 跨域资源共享(CORS)机制,是为了浏览器能更为安全的处理...
oss图片跨域问题_OSS跨域资源共享(CORS)出现的常见错误及解决方案
weixin_39826971的博客
12-22 2778
概述本文主要介绍跨域资源共享(Cross Origin Resource Sharing,简称CORS)配置的常见错误及解决方案。详细信息配置项CORS的配置方法一般是针对每个访问来源单独配置规则,勿将多个来源加到一个规则,多个规则之间不要有覆盖冲突。其它的选项只开放要的权限即可。CORS配置有以下几项:来源:允许跨域请求的来源,可以同时指定多个来源。配置时带上完整的域信息,例如:http:/...
OSS 最佳实践】OSS 操作权限控制
weixin_34124651的博客
09-15 2808
用户操作 OSS 时是要根据账号的 AccessKeyId 和 AccessKeySecret (后续简称 AK 和 SK )进行权限验证的,这里的 AK 和 SK 包括有多种类型:主账号的 AK 和 SK 、子账号的 AK 和 SK 以及 STS 生成的临时 AK 、 SK 和 Token 。那么他们之间有什么区别呢?具体应该如何配置使用呢?本文将带...
oss新增bucket权限问题
qq_34103387的博客
07-15 3612
oss新增bucket权限问题
阿里云 oss bucket 只保留7天
05-20
阿里云 OSS Bucket 默认情况下是没有过期时间的,如果您设置了 Bucket 生命周期规则,则可以根据规则来自动删除过期的对象。如果您没有设置规则,那么 Bucket 中的对象将一直保留。 如果您使用了阿里云 OSS 的临时授权访问方式,例如 STS Token,那么访问权限会在一定时间后自动失效,但这不会影响 Bucket 中的对象。如果您要在 Bucket 中自动删除过期的对象,可以通过设置 Bucket 生命周期规则来实现。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值