通过RAM对OSS进行权限管理

最新推荐文章于 2023-12-14 16:52:52 发布
最新推荐文章于 2023-12-14 16:52:52 发布
阅读量2.3k 收藏
点赞数
分类专栏: linux 基础知识 文章标签: 阿里云 安全 云计算
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/jialiu111111/article/details/122132059
版权
本文介绍如何使用RAM对OSS进行权限管理,包括自定义访问权限设置。提供了多个示例,如授权用户管理指定存储空间、限定IP地址访问等。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

通过RAM对OSS进行权限管理 - 访问控制 - 阿里云-官网文档

 

 

 

RAM自定义访问权限设置

权限策略示例

  • 示例1:授权RAM用户管理一个名为myphotos的存储空间。 
    {
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "oss:*",
            "Resource": [
                "acs:oss:*:*:myphotos",
                "acs:oss:*:*:myphotos/*"
            ]
        }
    ]
}

    示例2:授权RAM用户列出并读取一个存储空间中的资源。

  • 授权RAM用户通过OSS SDK或OSS命令行工具列出并读取一个存储空间中的资源。存储空间名称为myphotos
  • {
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "oss:ListObjects",
            "Resource": "acs:oss:*:*:myphotos"
        },
        {
            "Effect": "Allow",
            "Action": "oss:GetObject",
            "Resource": "acs:oss:*:*:myphotos/*"
        }
    ]
}

    授权RAM用户能够通过OSS控制台进行操作

  • {
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                      "oss:ListBuckets",
                      "oss:GetBucketStat",
                      "oss:GetBucketInfo",
                      "oss:GetBucketTagging",
                      "oss:GetBucketAcl" 
                      ],    
            "Resource": "acs:oss:*:*:*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "oss:ListObjects",
                "oss:GetBucketAcl"
            ],
            "Resource": "acs:oss:*:*:myphotos"
        },
        {
            "Effect": "Allow",
            "Action": [
                "oss:GetObject",
                "oss:GetObjectAcl"
            ],
            "Resource": "acs:oss:*:*:myphotos/*"
        }
    ]
}

     示例3:授权RAM用户通过特定的IP地址访问OSS。

  • Allow授权中增加IP限制:允许通过192.168.0.0/16172.12.0.0/16两个IP地址段读取myphotos中的信息
{
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                      "oss:ListBuckets",
                      "oss:GetBucketStat",
                      "oss:GetBucketInfo",
                      "oss:GetBucketTagging",
                      "oss:GetBucketAcl" 
                      ], 
            "Resource": [
                "acs:oss:*:*:*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "oss:ListObjects",
                "oss:GetObject"
            ],
            "Resource": [
                "acs:oss:*:*:myphotos",
                "acs:oss:*:*:myphotos/*"
            ],
            "Condition":{
                "IpAddress": {
                    "acs:SourceIp": ["192.168.0.0/16", "172.12.0.0/16"]
                }
            }
        }
    ]
}

Deny授权中增加IP限制:如果源IP不在192.168.0.0/16中,则禁止对OSS执行任何操作。

{
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                      "oss:ListBuckets",
                      "oss:GetBucketStat",
                      "oss:GetBucketInfo",
                      "oss:GetBucketTagging",
                      "oss:GetBucketAcl" 
                      ], 
            "Resource": [
                "acs:oss:*:*:*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "oss:ListObjects",
                "oss:GetObject"
            ],
            "Resource": [
                "acs:oss:*:*:myphotos",
                "acs:oss:*:*:myphotos/*"
            ]
        },
        {
            "Effect": "Deny",
            "Action": "oss:*",
            "Resource": [
                "acs:oss:*:*:*"
            ],
            "Condition":{
                "NotIpAddress": {
                    "acs:SourceIp": ["192.168.0.0/16"]
                }
            }
        }
    ]
}

OSS云存储的权限控制
凉茶铺的博客
09-19 3970
介绍了OSS云存储的权限控制方式
阿里云OSS访问权限配置(RAM权限控制)实现
09-14
主要介绍了阿里云OSS访问权限配置(RAM权限控制)实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
阿里云OSS访问权限配置——RAM权限控制
薛定谔的雄猫
07-04 5299
阿里云RAMOSS某一目录进行访问控制
使用RAM授权的方式操作(上传/下载等)阿里云对象存储OSS(含完整步骤和代码)
分享一点有用的知识
02-28 3204
使用RAM授权的方式操作(上传/获取等)阿里云对象存储OSS
阿里云oss配置RAM授权示例
第一天
12-20 5482
本示例基于oss客户端操作,其实在网页端操作也类似,为了方便,我在客户端操作 第一步,下载oss客户端 https://market.aliyun.com/products/53690006/cmgj000281.html?spm=5176.730005.productlist.d_cmgj000281.4cea3524wyy8KU&innerSource=search_oss 下载地址 ...
阿里云OSS新建RAM角色
zhang1587423114的博客
06-20 139
【代码】阿里云OSS新建RAM角色。
阿里云配置 RAM账号 关于 OSS的 单个bucket权限
11-07
阿里云RAM账号的配置是阿里云的一种身份验证和授权机制,通过RAM账号可以对阿里云资源进行精细的权限控制。在阿里云对象存储服务(OSS)中,需要配置RAM账号来控制对 OSS 资源的访问权限。本文将详细介绍如何配置RAM...
AliCloud RAM策略编辑器:简化OSS权限管理
通过这种方式,AliCloud RAM策略编辑器提供了对OSS资源访问权限的可视化编辑能力,使得权限管理更为直观和易于操作。它减少了管理过程中潜在的错误,并提供了一种快速的策略配置方式,尤其适合不熟悉RAM策略语言的...
阿里云OSS云存储:RAM与STS权限管理
2. 定义权限策略,这一步在"RAM访问控制-权限管理-权限策略管理"中进行。策略应仅包含对指定OSS资源的指定权限,以保证最小化权限原则。 3. 使用RAM的Policy语言来编写权限策略,Policy语言是一种JSON格式的语法,...
阿里云对象存储OSS配置RAM子账户bucket访问限制
良人眷的博客
12-10 3644
众所周知,阿里云OSS特别好用,拿来存储一些文件提供用户访问这一使用场景,成本低廉,容量充足,体验极好 但是对应的文档有不同的开发人员访问,怎么配置开发人员账号分别访问不同的bucket呢? 在联系了阿里云技术支持方面后,了解到了方法如下: 这其中的resource配置是对于的访问限制,修改此即可 "*" > "acs:oss:*:*:bucket_name" 随后保存权限名和简介 创建好策略可以选择RAM用户主体授权 给对应用户授予对应的bucket权...
阿里云RAMOSS某一目录进行访问控制
东方客的博客
09-19 2297
只能访问OSS的fmy-java-game-res-x03/fmy-web/images/mhyd/*下所有文件。 { "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "oss:*" ], "Res
OSS对象存储赋予RAM用户Bucket的只读和下载的权限
Da_zhenzai的博客
03-01 2015
阿里云OSS对象存储服务提供RAM访问控制,精准的给不同的角色和用户赋予不同的权限,公司要求创建一个RAM用户(只有某Bucket的读取和下载权限),目的就是保护Bucket中的资源安全,误删除的危险操作。话不多说,实操如下:
如何通过固定IP访问阿里云OSS
Habo_的博客
02-01 1610
在某些场景会需要为OSS提供一个固定IP提供给用户访问,比如客户要求提供OSS固定IP进行客户层面的白名单授权,阿里云OSS提供的是域名方式访问的而域名背后对应的是多个IP,在OSS有维护或者遭受网络攻击情况都会更换,所以阿里云服务端层面是无法固定OSSIP的。面对这种场景,如果我们不能给客户提供一个固定OSSIP可能会导致客户无法给访问我们的资源带来一系列问题。所以针对这种场景我们可以使用nginx反向代理来实现。
使用SDK访问OSS
实践求真知
11-27 960
一 使用SDK 在OSS的概览页右下角找到“Bucket管理”,点击“OSS学习路径” 点击“Java SDK”进入SDK开发文档。 二创建测试项目 1创建Maven项目 2配置pom <dependencies> <!--aliyunOSS--> <dependency> <groupId>com.aliyun.oss</groupId> ...
阿里云对象存储OSS SDK的使用
大头皮鞋的博客
10-04 5861
阿里云对象存储OOS SDK的使用
子账户及STS临时账户调用OSS的常见问题及排查
weixin_34194702的博客
02-01 3719
STS临时账户调用常见的错误码及原因参考:STS常见问题及排查 1)子账户要如何授权只读bucket的权限 为此子用户附加系统授权策略”AliyunOSSReadOnlyAccess”,该权限拥有全部bucket的只读权限; 2)子账户只读单个bucket的policy如何编写 如果您需要授权一个子用户(例如,代表您的某个应用程序)通过 OSS SDK ...
阿里云OSSRAM永久配置
最新发布
专心创作,专心学习
12-14 567
1.配置环境变量,官方文档里面有方法,登录阿里云即可查看。
阿里云 OSS对象存储攻防【转载】
mingyqf的博客
05-31 3057
阿里云 OSS对象存储攻防 原文链接:https://zone.huoxian.cn/d/918-oss UzJu 24 2月 阿里云 OSS对象存储攻防 本文分为两个部分 第一部分介绍OSS对象存储攻防的方式 第二部分为真实漏洞案例 1、Bucket权限配置错误-公开访问 在创建Bucket桶时,默认是private的权限,如果在错误的配置下,给了listobject权限,就会导致可遍历存储桶 在此时如果选择公有读的话,会出现两种情况 1、在只配置读写权限设置为公有读或公共读写的情况..
阿里云OSS】访问控制
sayyy的专栏
01-12 3172
目录前言概念OSS提供的权限控制策略RAM PolicyBucket PolicyBucket ACLObject ACL当Bucket同时存在多个权限控制策略(如RAM Policy、Bucket Policy、Bucket ACL、Object ACL)时的鉴权流程使用STS临时授权访问OSSOSS资源允许匿名访问的设置方式1:Bucket ACL 设置成公共读方式2:Object ACL 设置成公共读方式3:Bucket Policy 设置指定目录OSS资源匿名访问使用STS临时授权访问OSS 前言
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值