默认情况下,为保证存储在OSS中数据的安全性,OSS资源(包括Bucket和Object)默认为私有权限,只有资源拥有者或者被授权的用户允许访问。如果要授权第三方用户访问或使用自己的OSS资源,可以通过多种权限控制策略向他人授予资源的特定权限。
针对存放在Bucket的Object的访问,OSS提供了以下权限控制策略:
类型 | 说明 | 适用场景 |
RAM Policy | RAM(Resource Access Management)是阿里云提供的资源访问控制服务。RAM Policy是基于用户的授权策略。通过设置RAM Policy,您可以集中管理您的用户(例如员工、系统或应用程序)以及控制用户可以访问您名下哪些资源的权限,例如限制您的用户只拥有对某一个Bucket的读权限。 | 为当前账号下的RAM用户、用户组、RAM角色授予OSS权限。 |
Bucket Policy | Bucket Policy是基于资源的授权策略。相比于RAM Policy,Bucket Policy操作简单,支持在控制台直接进行图形化配置,并且Bucket拥有者直接可以进行访问授权,无需具备RAM操作权限。Bucket Policy支持为其他账号的RAM用户授予访问权限以及为匿名用户授予带特定IP条件限制的访问权限。 |
|
设置Bucket ACL | 您可以在创建Bucket时设置读写权限ACL,也可以在Bucket创建后的任意时间内根据自己的业务需求随时修改ACL,该操作只有Bucket的拥有者可以执行。Bucket ACL分为public-read-write(公共读写)、public-read(公共读)和private(私有)三种。 | 对单个Bucket内的所有Object设置相同的访问权限。 |
设置Object ACL | 除Bucket级别ACL以外,OSS还提供了Object级别的ACL。您可以在上传Object时设置相应的ACL,也可以在Object上传后的任意时间内根据自己的业务需求随时修改ACL。Object ACL分为default(继承Bucket)、public-read-write(公共读写)、public-read(公共读)和private(私有)四种。 | 对单个或多个Object单独设置访问权限。例如已通过RAM Policy或者Bucket Policy将Bucket内的所有Object或者与指定Prefix匹配的Object的访问权限设置为私有,但是需要将某个Object开放给所有互联网匿名用户访问,则选择Object ACL,并将ACL设置为public-read。 |
阻止公共访问 | OSS支持通过设置Bucket Policy以及ACL的方式实现公共访问。公共访问是指无需特定权限或身份验证即可对OSS资源进行访问。公共访问容易引发数据泄露以及被恶意访问而产生大量外网下行流量的风险。为避免公共访问可能带来的风险,OSS支持开启阻止公共访问。开启阻止公共访问后,已有的公共访问权限会被忽略,且不允许创建新的公共访问权限,以此关闭数据的公开访问渠道,确保数据安全。 |
|
接入点 | 为存储空间(Bucket)创建多个接入点(Access Point),并对不同的接入点配置不同的访问控制权限及网络控制策略。通过在不同业务场景使用不同的接入点进行访问,降低大规模的共享数据集数据访问管理的复杂度。 |
|
当Bucket同时存在多个权限控制策略(如RAM Policy、ACL、Bucket Policy等)时,详细鉴权流程请参见OSS鉴权详解。