云安全
云安全概述
阿里云概述
亚马逊AWS概述
云计算导论
云计算概述
云计算的关键技术
虚拟化
分布式文件系统
云存储
数据处理
并行计算
OpenStack
容器
Kubernetes概述
Serverless
Hadoop
云原生
云数据中心
微服务
对象存储OSS
云存储
对象存储
对象文件(Object)
存储桶(存储空间)
通过外网访问OSS
存储桶漏洞
STS访问OSS
权限与访问控制
访问控制
Bucket&RAM Policy
预签名
Docker
01docker概述
02docker安装
03目录结构
04基础操作
05底层原理【理论】
06底层原理【实践】
07DockerFile
08容器反查Dockerfile
09Docker 逃逸
-
+
首页
权限与访问控制
默认情况下,为保证存储在OSS中数据的安全性,OSS资源(包括Bucket和Object)默认为私有权限,只有资源拥有者或者被授权的用户允许访问。如果要授权第三方用户访问或使用自己的OSS资源,可以通过多种权限控制策略向他人授予资源的特定权限。 ## RAM Policy RAM(Resource Access Management)是阿里云提供的资源访问控制服务。 RAM Policy是基于用户的授权策略。通过设置RAM Policy,可以集中管理您的用户(例如员工、系统或应用程序)以及控制用户可以访问哪些资源的权限,例如限制用户只拥有对某一个Bucket的读权限。 场景:为当前账号下的RAM用户、用户组、RAM角色授予OSS权限。 文档地址:https://help.aliyun.com/zh/oss/ram-policy-overview ## Bucket Policy Bucket Policy是基于资源的授权策略。相比于RAM Policy,Bucket Policy操作简单,支持在控制台直接进行图形化配置,并且Bucket拥有者直接可以进行访问授权,无需具备RAM操作权限。 Bucket Policy支持为其他账号的RAM用户授予访问权限以及为匿名用户授予带特定IP条件限制的访问权限。 场景: - 为当前账号下的RAM用户或RAM角色授予OSS权限。 - 为其他账户下的RAM用户或RAM角色授予OSS权限。 - 为匿名用户授予OSS权限。 文档地址:https://help.aliyun.com/zh/oss/tutorial-share-data-across-departments-based-on-bucket-policies ## Bucket ACL 可以在创建Bucket时设置读写权限ACL,也可以在Bucket创建后的任意时间内根据自己的业务需求随时修改ACL,该操作只有Bucket的拥有者可以执行。 Bucket ACL分为public-read-write(公共读写)、public-read(公共读)和private(私有)三种。 场景:对单个Bucket内的所有Object设置相同的访问权限。 文档地址:https://help.aliyun.com/zh/oss/bucket-acl-2 ## Object ACL 除Bucket级别ACL以外,OSS还提供了Object级别的ACL。可以在上传Object时设置相应的ACL,也可以在Object上传后的任意时间内根据自己的业务需求随时修改ACL。 Object ACL分为default(继承Bucket)、public-read-write(公共读写)、public-read(公共读)和private(私有)四种。 场景:对单个或多个Object单独设置访问权限。 例如已通过RAM Policy或者Bucket Policy将Bucket内的所有Object或者与指定Prefix匹配的Object的访问权限设置为私有,但是需要将某个Object开放给所有互联网匿名用户访问,则选择Object ACL,并将ACL设置为public-read。 文档地址:https://help.aliyun.com/zh/oss/object-acl ## 阻止公共访问 OSS支持通过设置Bucket Policy以及ACL的方式实现公共访问。 公共访问是指无需特定权限或身份验证即可对OSS资源进行访问。公共访问容易引发数据泄露以及被恶意访问而产生大量外网下行流量的风险。 为避免公共访问可能带来的风险,OSS支持开启阻止公共访问。开启阻止公共访问后,已有的公共访问权限会被忽略,且不允许创建新的公共访问权限,以此关闭数据的公开访问渠道,确保数据安全。 场景: - 在OSS全局维度开启阻止公共访问。 - 在单个Bucket维度开启阻止公共访问。 - 在单个接入点维度开启阻止公共访问。 - 在单个对象FC接入点维度开启阻止公共访问。 文档地址:https://help.aliyun.com/zh/oss/block-public-access-to-oss-resources ## 接入点 为存储空间(Bucket)创建多个接入点(Access Point),并对不同的接入点配置不同的访问控制权限及网络控制策略。通过在不同业务场景使用不同的接入点进行访问,降低大规模的共享数据集数据访问管理的复杂度。 场景: - 某客户管理数十个App客户端,不同的App客户端要求对同一个Bucket不同目录下的数据拥有不同的访问权限。 - 某客户将企业所有的数据均存储于同一个Bucket,要求企业内部数十甚至数百个团队仅能访问指定目录或指定的文件。 文档地址:https://help.aliyun.com/zh/oss/access-point-overview ## 防盗链 防盗链通过对HTTP请求的Referer、User-Agent等来源信息进行校验,阻止非授权网站直接链接访问OSS资源,从而防止他人盗用带宽、盗链资源等行为。支持按白名单、黑名单、正则等方式配置。 场景:只允许指定域名、应用访问指定Bucket或Object,防止图片、文件等被第三方网站盗用。适合音视频、图片、软件下载等对带宽和资源保护要求高的场景。 文档地址:https://help.aliyun.com/zh/oss/hotlink-protection/ ## 跨域设置 CORS(Cross-Origin Resource Sharing,跨域资源共享)允许您为Bucket配置跨域访问规则,从而使网页脚本能够安全地访问来自不同源的OSS资源。可配置允许的来源、方法、头部等参数。 场景:网页应用、H5、小程序等前端页面或第三方服务需要从不同的域(Origin)发起跨域请求访问OSS资源时使用。典型如前端文件直传、Web音视频播放等跨域加载场景。 文档地址:https://help.aliyun.com/zh/oss/configure-cross-origin-resource-sharing
毛林
2025年10月16日 20:59
转发文档
收藏文档
上一篇
下一篇
手机扫码
复制链接
手机扫一扫转发分享
复制链接
Markdown文件
PDF文档(打印)
分享
链接
类型
密码
更新密码