赛尔校园公共服务平台 Logo
平台使用
阿里云
百度云
移动云
智算服务
教育生态
登录 →
赛尔校园公共服务平台 Logo
平台使用 阿里云 百度云 移动云 智算服务 教育生态
登录
  1. 首页
  2. 阿里云
  3. 对象存储
  4. 安全合规
  5. 访问控制

访问控制

  • 安全合规
  • 发布于 2025-04-21
  • 0 次阅读
文档编辑
文档编辑

阿里云对象存储OSS提供读写权限ACL、授权策略、防盗链白名单等功能,实现存储资源访问的控制和管理。

读写权限

OSS为权限控制提供访问控制列表(ACL)。ACL是授予Bucket和Object访问权限的访问策略。 您可以在创建存储空间(Bucket)或上传对象(Object)时配置ACL,也可以在创建Bucket或上传Object后的任意时间内修改ACL。

  • Bucket ACL

    Bucket ACL是Bucket级别的权限访问控制。目前有三种访问权限,含义如下:

    权限值

    中文名称

    权限对访问者的限制

    public-read-write

    公共读写

    任何人(包括匿名访问)都可以对该Bucket中的Object进行读、写、删除操作;所有这些操作产生的费用由该Bucket的Owner承担,请慎用该权限。

    警告

    互联网上任何用户都可以对该Bucket内的文件进行访问,并且向该Bucket写入数据。这有可能造成您数据的外泄以及费用激增,如果被人恶意写入违法信息还可能会侵害您的合法权益。除特殊场景外,不建议您配置公共读写权限。

    public-read

    公共读

    只有该Bucket的Owner或者授权对象可以对存放在其中的Object进行写、删除操作;任何人(包括匿名访问)可以对Object进行读操作。

    警告

    互联网上任何用户都可以对该Bucket内文件进行访问,这有可能造成您数据的外泄以及费用激增,请谨慎操作。

    private

    私有

    只有该Bucket的Owner或者授权对象可以对存放在其中的Object进行读、写、删除操作;其他人在未经授权的情况下无法访问该Bucket内的Object。

  • Object ACL

    Object ACL是Object级别的权限访问控制。目前有四种访问权限,含义如下:

    权限值

    中文名称

    权限对访问者的限制

    public-read-write

    公共读写

    所有用户拥有对该Object的读写权限。

    警告

    互联网上任何用户都可以对该Object进行访问,并且向该Object写入数据。这有可能造成您数据的外泄以及费用激增,如果被人恶意写入违法信息还可能会侵害您的合法权益。除特殊场景外,不建议您配置公共读写权限。

    public-read

    公共读

    非Object Owner只有该Object的读权限,而Object Owner拥有该Object的读写权限。

    警告

    互联网上任何用户都可以对该Object进行访问,这有可能造成您数据的外泄以及费用激增,请谨慎操作。

    private

    私有

    只有该Object的Owner拥有该Object的读写权限,其他的用户没有权限操作该Object。

    default

    继承Bucket

    Object遵循Bucket的读写权限,即Bucket是什么权限,Object就是什么权限。

    说明

    Object的读写权限默认为继承Bucket。Object的权限大于Bucket权限。例如,设置了Object的权限是public-read,则无论Bucket是什么权限,该Object都可以被身份验证访问和匿名访问。

更多信息,请参见OSS开发指南中的设置Object ACL。

基于用户的授权策略RAM Policy

RAM(Resource Access Management)是阿里云提供的资源访问控制服务,RAM Policy是基于用户的授权策略。通过设置RAM Policy,您可以集中管理您的用户(例如员工、系统或应用程序),以及控制用户可以访问您名下哪些资源的权限,例如限制您的用户只拥有对某个Bucket里的某些对象的读权限。

RAM Policy为JSON格式,您可以通过其中的Statement描述授权语义,每条语义包含对Action、Effect、Resource和Condition的描述。您可以根据业务场景设置多条语义,实现灵活的授权策略。详情请参见对象存储系统权限策略参考和对象存储自定义权限策略参考。

STS临时授权

相对于RAM提供的长效控制机制,STS(Security Token Service)提供的是一种临时访问授权。通过STS可以返回临时的AccessKey和Token,这些信息可以直接发给临时用户用来访问OSS。一般来说,从STS获取的权限会受到更加严格的限制,并且拥有时间限制,因此这些信息泄露之后对于系统的影响也很小。

OSS可以通过阿里云STS进行临时授权访问。通过STS,您可以为第三方应用或子用户(即用户身份由您自己管理的用户)颁发一个自定义时效和权限的访问凭证。更多信息请参见OSS安全令牌(STS Token)访问。

基于资源的授权策略Bucket Policy

Bucket Policy是基于资源的授权策略。相比于RAM Policy,Bucket Policy支持在控制台直接进行图形化配置操作,并且Bucket拥有者直接可以进行访问授权。

使用Bucket Policy,您可以授予其他账号的RAM用户访问您的OSS资源的权限,也可以向匿名用户授予带特定IP条件限制的访问权限。详情请参见通过Bucket Policy授权用户访问指定资源。

防盗链白名单

对象存储OSS是按使用量收费的服务。为了减少您存储于OSS的数据被其他人盗链而产生额外费用,OSS支持设置基于HTTP和HTTPS header中表头字段Referer的防盗链方法。

您可以设置防盗链白名单,仅允许指定的域名访问OSS资源,或者仅允许HTTP或HTTPS header中包含Referer字段的请求才能访问OSS资源。对于公共读或公共读写的Bucket,防盗链白名单可以有效防止盗链,保护您的合法权益。详情请参见OSS开发指南中的防盗链。

相关文章

安全合规 2025-04-21 17:12

阿里云对象存储OSS(Object Storage Service)具有丰富的安全防护能力,通过多项合规认证,支持服务器端加密、客户端加密、防盗链白名单、细粒度权限管控、日志审计、合规保留策略(WORM)、内容检测等特性。OSS为您的云端数据安全进行全方位的保驾护航,并满足您企业数据的安全与合规要求

访问控制 2025-04-21 17:12

阿里云对象存储OSS提供读写权限ACL、授权策略、防盗链白名单等功能,实现存储资源访问的控制和管理。 读写权限

使用资源组进行精细化资源控制 2025-04-21 17:11

为了更加高效地管理对象存储(OSS)的资源,您可以使用资源组对资源进行分组管理。资源组使您能够按照部门、项目、环境等维度对资源进行分组,并结合访问控制(RAM),在单个阿里云账号内实现资源的隔离和精细化权限管理。本文为您介绍OSS对资源组的支持情况,以及如何对OSS的资源进行分组和资源组级别的授权操

数据加密 2025-04-21 17:11

对象存储OSS提供服务器端加密和客户端加密,并支持基于SSL/TLS的HTTPS加密传输,有效防止数据在云端的潜在安全风险。 服务器端加密

监控审计 2025-04-21 17:11

对象存储OSS提供访问日志的存储和查询功能,并支持Bucket操作日志透明化,满足您对企业数据的监控审计需求。 监控服务 OSS监控服务

数据容灾 2025-04-21 17:11

OSS提供同城冗余存储和跨区域复制特性,实现同地域和跨地域级别的机房容灾能力。 同城冗余存储 OSS

目录
Copyright © 2025 your company All Rights Reserved. Powered by 赛尔网络.
京ICP备14022346号-15
gongan beian 京公网安备11010802041014号