【最佳实践】如何通过OSS的Bucket Policy设置访问授权?

最新推荐文章于 2024-05-14 14:25:03 发布
最新推荐文章于 2024-05-14 14:25:03 发布
阅读量4.7k 收藏 1
点赞数 1
文章标签: java python php
原文链接:https://yq.aliyun.com/articles/604532
版权

如何让1个外部用户访问某个OSS资源?

 某大型企业A使用OSS作为后端资源存储平台,当该企业期望将内部数据分享给下游合作伙伴B,那么基于阿里云OSS平台,有多少种方式呢?

方式1:基于Bucket 以及Object ACL:
 Bucket 所有者将需要分享的文件ACL设置为“Public”模式,那么外部用户可以直接访问该文件的URL,而不需要通过身份认证以及鉴权操作。
image

图1:配置对象的ACL

方式2:使用签名URL方式:
 Bucket所有者设置待分享文件的签名url信息,外部用户接收到该url后,在指定的时间内访问该文件;
image

图2:设置对象的签名URL

方式3:使用RAM policy方式:
 若下游合作伙伴也是阿里云用户,那么可以基于sts(Security Token Service)方式进行授权访问,企业A管理员创建角色Role A,并且指定企业B账号进行扮演该角色Role A,通知企业A管理员设置RAM Policy(如下),并且将该RAM Policy赋予给Role A。企业B管理员可以使用根账号或者子账号扮演角色RoleA,然后使用Assumerole返回的临时token以及secret ID信息在指定的时间段内访问企业A的资源。

  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "oss:GetObject",
        "oss:ListObjects",
        "oss:GetObjectAcl"
      ],
      "Resource": [
        "acs:oss:*:*:test-resource"
      ],
      "Condition": {}
    }
  ]
}

方式4:使用Bucket Policy:
 若下游合作伙伴也是阿里云用户,那么Bucket Owner可以直接基于该资源配置Bucket Policy策略,在策略中指定允许访问该资源的对象,以及允许的访问操作权限。
003

图3:设置Bucket Policy

Bucket policy 优劣势

 针对用户访问资源的授权,我们列出了常见的4种不同的配置方式,那么这4种配置方式各有设么优缺点呢?
image

图5:4种配置方式的优劣势

Bucket Policy是什么?

  默认情况下,所有阿里云OSS资源都是私有的,包括Bucket,对象。只有资源拥有者才能访问这些资源,另外资源的拥有者可以通过配置访问策略授权他人访问权限。
  阿里云OSS提供的访问策略大致可分为基于资源的策略以及基于用户的策略两类。附加到资源(Bucket和对象)的访问策略称之为基于资源的策略。例如,Bucket Policy以及访问控制列表(ACL)就是基于资源的策略,另外也可以将访问策略附加到根账号下的子用户,这种策略称之为用户策略,例如:RAM Policy。

3.1 bucket policy简介

 Bucket 的所有者可以通过设置Bucket Policy设置针对bucket以及bucket内对象的访问权限。
 Bucket policy可以基于各种参数,例如“被授权账号/子用户,访问条件”等。附加到某个bucket的权限适用于该bucket内所有对象。设置Bucket Policy策略后,后续对该bucket的访问请求都将会受到Bucket Policy的限制。

3.2Bucket Policy配置过程

 当前Bucket Policy只能在控制台进行配置图形化配置操作。选中某个对象,点击“授权”,或者点击“操作授权”,弹出如下配置对话框:

image

图6:添加“操作授权”

 各个字段的含义如下表1所示:

字段描述
授权资源1. 若选中某个对象,直接点击“授权”,则此处会自动填充对应资源的路径;
2. 若点击“操作授权”,则需要输入对应的资源路径。		1.若资源为bucket时,“授权操作”作用于bucket以及bucket内所有子对象;
2. 若资源为对象或者目录,“授权操作”作用于该对象或者该目录下所有的子对象;
授权用户输入格式:
授权给账号:输入对应账号ID;
授权给子用户:输入对应子用户的ID		Bucket Policy支持跨账号授权;
若授权给匿名用户,则勾选“所有用户”;
授权操作为了简化授权过程,oss针对常见的授权场景进行了简化操作,目前只提供“只读”、“读写”以及“完全控制”、“拒绝访问”操作。1.“只读
2.“读写”;
3. “完全控制
4."拒绝访问"
条件IP等于、IP不等于当输入多个IP地址或者IP地址段时,用英文逗号分隔;

3.3bucket Policy配置示例

 相比于RAM policy,Bucket Policy支持在控制台直接进行图形化配置操作,并且Bucket 所有者直接可以进行访问授权。Bucket Policy常见的应用场景有如下几种:

  1. 向其他账号的子用户授权访问
  2. 向匿名用户授权于带特定IP条件限制的访问权限
1.向其他账号下的子用户授权

 以下策略显示了bucket 所有者向其他账号下的子账号(UID:237683216696367672)授予只读权限的配置过程。

image

图7:向其他账号下的子账号授权

2.向匿名用户授权于带特定IP条件限制的访问权限

 以下示例允许向匿名用户授予待IP限制的访问策略。例如,企业内部的机密文档,只允许在企业内部访问,不允许在其他区域访问。由于企业内部人员较多,针对每个人配合RAM policy,手工操作工作量非常大。因此基于bucket policy设置带IP限制的访问策略,是非常有效的。
image

图8:向匿名用户授权于带特定IP条件限制的访问权限


Tips:授予对bucket的匿名用户访问操作时需谨慎使用。若授予匿名访问权限不带条件限制,那么意味着世界上任何人都可以访问该资源.
weixin_34357436
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
阿里云OSS云存储方案.docx
09-01
在使用STS时,通常会创建一个子账号,仅赋予扮演角色的权限,然后通过权限策略定义该角色能访问OSS资源及其操作。 创建STS临时授权的步骤包括: - 创建子账号,并赋予`AliyunSTSAssumeRoleAccess`权限,防止子...
阿里云OSS 临时授权用户访问参考
weixin_41997172的博客
12-28 6330
用户,用户组,角色,临时授权-权限策略
[AWS][安全] S3存储桶策略-Bucket Policy
栗子哥的云计算博客
06-19 5014
在上一个实验”IAM 策略”中,我们了解到可以对 IAM 用户赋予一些策略,使这些用户只能 对特定的资源赋予特定的权限,以及在策略中,我们也可以通过变量的方式动态控制每一 个 IAM 用户的策略。但在某些场景下,我们需要对某些资源赋予权限,比如有一个 S3 存 储桶,我们想要把这个存储桶/存储桶中的对象 共享给某一个 AWS 账号,或者某一个 AWS 账号下的 IAM 用户,在这种情况下,我们需要创建基于资源的策略。 S3 存储桶策略和 IAM 用户策略看起来很相似,都是通过 JSON 来进行定义。不同的是
Minio 教程 - Minio 之权限控制策略
最新发布
qq_33240556的博客
05-14 1183
对于更细粒度的控制,可以创建自定义IAM策略。自定义策略允许你针对特定的存储桶或者对象,甚至是操作(如上传、下载、删除等)设置权限。策略以JSON格式编写,包含一组声明(Statements),每个声明定义了哪些主体(Principal)、在什么条件下(Condition)、对哪些资源(Resource)拥有何种权限(Action)。
ceph rgw:bucket policy实现
会哭的雨@的博客
08-31 1978
ceph rgw:bucket policy实现 相比于aws,rgw的bucket policy实现的还不是很完善,有很多细节都不支持,并且已支持的特性也在很多细节方面与s3不同,尤其是因为rgw不支持类似s3的account user结构,而使用tenant作为替代而导致的一些不同。 并且在文档中还提及,为了修正这种不同,以及支持更多特性,在不久后会重写rgw的 Authentication/Authorization subsystem。到时候可能导致一些兼容问题? 差异性,主要有以下几点:
阿里云 OSS 客户端直传 Policy 模式使用
热门推荐
小毕超博客
01-09 1万+
一、OSS Policy 模式 Post policy 是阿里推出的一种安全的文件上传方式,在传统的方式一般都是客户端将文件上传至服务端,再由服务端将文件上传至具体的文件系统比如阿里云的OSS,这种方式不仅增加了我们服务器的带宽,而且效率也不怎么高,为此阿里提出的policy 模式,是由服务端进行签名,客户端拿到签名后的 policy 直连阿里云的OSS进行上传文件,并且阿里也提供了上传后的回调方案。 流程如下图所示: 用户要上传一个文件到OSS,而且希望将上传的结果返回给应用服务器时,需要设置一个回调函
阿里云OSS配置私有Bucket生成STS临时授权Url访问
Peace and Devotion Give me Power
11-17 1万+
阿里云OSS配置私有Bucket生成STS临时授权Url访问 阿里云提供的 权限管理系统 或 访问控制服务 主要包含两部分,RAM(Resource Access Management)和 STS(Security Token Service),RAM 主要的作用是控制账号系统的权限,你可以使用 RAM 在主账号的权限范围内创建子用户,给不同的子用户分配不同的权限从而达到授权管理的目的。STS 是一个安全凭证(Token)的管理系统,你可以使用 STS 来完成对于临时用户的访问授权。 RAM 和 STS 需
【阿里云OSS访问控制
sayyy的专栏
01-12 2805
目录前言概念OSS提供的权限控制策略RAM PolicyBucket PolicyBucket ACLObject ACL当Bucket同时存在多个权限控制策略(如RAM PolicyBucket PolicyBucket ACL、Object ACL)时的鉴权流程使用STS临时授权访问OSSOSS资源允许匿名访问设置方式1:Bucket ACL 设置成公共读方式2:Object ACL 设置成公共读方式3:Bucket Policy 设置指定目录OSS资源匿名访问使用STS临时授权访问OSS 前言
微信小程序环境下将文件上传到OSS的方法步骤
10-16
为了允许这种跨域访问,你需要在OSSBucket设置中添加跨域规则(CORS)。具体操作是设置允许小程序源(如微信小程序的特定URL)的`Origin`头,确保包含POST方法,以便文件可以成功上传。 2. **设置上传域名白名单*...
微信小程序上传文件到阿里OSS教程
10-16
- 设置Bucket访问权限,防止未授权访问。 - 文件命名规则可设置特定前缀,增强数据安全性。 通过以上步骤,你可以在微信小程序中实现文件上传至阿里云OSS的服务,为用户提供便捷的文件存储功能。同时,确保...
OSSBrowser(Windows64位版)
04-23
ossbrowser是阿里云os系统资源管理工具,ossbrowser(Windows64位版)是一款OSS官方提供的图形化的管理工具,提供类似Windows...支持AK登录、临时授权码登录,管理Bucket,管理文件,提供Policy授权,生成STS临时授权
ram-policy-editor:适用于OSS的AliCloud RAM策略编辑器
05-13
存储桶中某个目录下的所有对象: my-bucket/dir/* (没有dir权限,例如ListObjects) 完整的资源路径: acs:oss:*:1234:my-bucket/dir ,其中1234是用户ID(在控制台中查看用户ID)。启用路径要授予目录权限时,还...
OSS上传报错 权限不足
小人物的点点滴滴
05-18 1063
原因是权限没给足 解决: 将后端代码 改成给足全部权限 修改后等个10几秒 等他配置生效后再运行前端代码,可以发现成功调用接口 参考oss
Android oss policy上传
上地,我在角落里守望
07-07 926
Android OSS policy上传
OSS云存储的权限控制
凉茶铺的博客
09-19 3629
介绍了OSS云存储的权限控制方式
阿里云OSS存储的应用
雨声学java
07-05 543
阿里云的OSS存储服务
oss阿里云云存储
Xiezhihao_的博客
06-23 1098
图片上传 阿里云oss存储
阿里云对象存储oss使用
qq_35652751的博客
06-16 519
阿里 oss 服务端签名直传
前端使用oss
wang9rui的博客
06-15 1634
访问oss资源
OSS的基本概念有哪些?
03-22
OSS是阿里云提供的对象存储服务,它的基本概念包括Bucket(存储空间)、Object(对象)、Endpoint(访问域名)、AccessKey(访问密钥)等。Bucket是存储对象的容器,Object是存储在Bucket中的文件或数据,Endpoint是访问OSS的域名,AccessKey是访问OSS的密钥。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值