如何限制用户仅通过HTTPS方式访问OSS?

最新推荐文章于 2025-06-28 12:35:48 发布
最新推荐文章于 2025-06-28 12:35:48 发布
阅读量4.9k 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: 安全与风控 python API
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_43970890/article/details/86541712
本文介绍了如何通过阿里云RAM Policy限制用户只能通过HTTPS协议访问OSS,以增强安全性。首先阐述了HTTP访问的安全隐患,然后详细说明了如何配置RAM Policy,包括提供了一个示例Policy,禁止HTTP访问。最后,通过Python SDK的测试验证了Policy的有效性,展示了HTTP上传文件被拒的情况。未来,OSS计划在Bucket Policy中增加类似功能。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、当前存在的问题

  当前OSS支持用户使用HTTPS/HTTP协议访问Bucket。但由于HTTP存在安全漏洞。大型企业客户都要求使用HTTPS方式访问OSS,并且拒绝HTTP访问请求。

  目前OSS可以通过RAM policy方式实现:限制某个用户、角色拒绝通过HTTP协议访问指定的Bucket和对象。但是RAM Policy是一种基于用户的授权方式,无法针对资源进行授权。也就是说无法针对Bucket或者对象级别,拒绝所有用户的HTTP请求。目前我们正在基于Bucket Policy开发该功能,后续用户可以直接通过Bucket Policy设置HTTPS访问策略。

二、通过RAM Policy实现“限制用户仅通过HTTPS方式访问OSS”

  阿里云RAM Policy有丰富的Condition参数,可以限制对资源的访问。这里我们利用"Secure Transport"条件参数生成RAM Policy,以实现拒绝指定的用户通过HTTP方式访问Bucket

Condition 功能 合法取值
acs:SecureTransport 是否是https协议 “true”或者”false”

2.1RAM Policy示例

  • 为了简化配置,我们事先给账号赋予“AliyunOSSFullAccess”,然后模拟拒绝一切通过HTTP的请求。
  • 添加“拒绝HTTP访问请求”RAM Policy。具体RAM Policy内容如下:
{
  "Version": "1",
  "State
最低0.47元/天 解锁文章

200万优质内容无限畅学
OSS云存储的权限控制
凉茶铺的博客
09-19 4052
介绍了OSS云存储的权限控制方式
【最佳实践】如何限制用户通过HTTPS方式访问OSS? ...
weixin_33728708的博客
01-10 695
一、当前存在的问题 当前OSS支持用户使用HTTPS/HTTP协议访问Bucket。但由于HTTP存在安全漏洞。大型企业客户都要求使用HTTPS方式访问OSS,并且拒绝HTTP访问请求。 目前OSS可以通过RAM policy方式实现:限制某个用户、角色拒绝通过HTTP协议访问指定的Bucket和对象。但是RAM Policy是一种基于用户的授权...
解决:阿里云 OSS 存储访问报错 AccessDenied
liuzhen007的专栏
03-20 1万+
使用阿里云的 OSS 的客户端 SDK上传了一个文件,访问存储地址时遇到如下报错信息: <Error> <Code>AccessDenied</Code> <Message>You have no right to access this object because of bucket acl.</Message> <RequestId>622FF5149849B43239F0C519</RequestId> &l..
配置阿里云OSS实现https访问
最新发布
感谢关注点赞,笔芯啾咪!
06-28 697
摘要:本文介绍了如何将阿里云OSS存储桶自定义域名绑定,实现通过https://file.test.com/b.png访问bucket中的文件。主要步骤包括:1)获取OSS bucket原始域名;2)在DNS解析中添加CNAME记录;3)在OSS控制台绑定自定义域名;4)配置SSL证书实现HTTPS访问。通过这套配置,用户可以从自定义域名直接访问OSS文件,而无需使用OSS默认域名。前提条件包括已备案域名和公共读权限的OSS bucket。完整解决方案解决了文件访问、预览和程序调用等问题。
阿里云对象存储OSS使用 HTTPS访问
qq_60602244的博客
05-03 3816
阿里云对象存储OSS使用 HTTPS访问
阿里云OSS绑定域名后报错AccessDenied的解决
Evaristexu的博客
06-11 3909
最近发现wordpress搭建博客国内访问有点慢,于是想用cdn加加速,结果在oss创建bucket绑定域名时,不小心绑定成了一级域名(其实是应该创建一个子域名绑定,例如xx.xx/img) 然后打开博客就显示如下信息: 结果在oss管理中解除绑定也没有用 但是直接输入ip可以显示html信息 猜测是域名解析发生了改变 打开域名解析查看 点击修改,重新解析到自己服务器的ip 修改后即可恢复正常 ...
阿里云服务器配置https(安装ssl证书)以及强制使用https
柚子烧酒
04-23 2217
一. 购买ssl证书 我是在阿里云购买的,证书选型、价格以及申请流程可以参照官方文档:阿里云SSL证书 主要是以下几步: 证书选型和购买 证书申请 等待审核(免费的DV证书非常快,我等了10多分钟就审核完了,会有短信或者邮件提醒的) 下载证书 二. 安装证书 阿里云对应不同服务器,也有安装证书的官方文档:SSL证书安装指南 我的是 Apache服务器,主要是以下几步: 远程连接服务器(推荐...
阿里云OSS访问权限配置(RAM权限控制)实现
09-14
1. **新建用户**:在RAM控制台,你可以创建一个新的用户,为每个用户生成一对AccessKey(包括AccessKeyId和AccessKeySecret),这是用户身份的凭证,用于鉴权访问OSS。 2. **自定义权限策略**:为了满足特定的访问...
解决阿里云OSS使用URL无法访问图片的两种方法
08-18
1. **XML代码显示**:当尝试通过URL访问OSS存储的图片时,浏览器可能返回XML错误代码,这通常是由于Bucket权限设置不当导致的。 2. **自动下载而非显示**:另一种情况是,图片内容不是在浏览器中显示,而是被当作...
利用阿里云oss,来转发httphttps流量_aliyun-oss-c2.zip
09-05
8. API接口支持:阿里云OSS提供了丰富的API接口,用户可以通过编程方式管理自己的Bucket和Object,实现自动化的数据处理和管理。 9. 权限控制和日志审计:用户可以通过RAM(Resource Access Management)进行细粒度...
MFC访问阿里云Oss方式
05-11
3. **上传对象**:使用MFC访问OSS时,可以将本地文件上传至指定的Bucket。这通常涉及选择本地文件,设置对象键(Object Key,即在OSS中的路径),并可选地生成校验文件,确保上传的数据完整性。 4. **下载对象**:...
OSS使用时报错oss2.exceptions.ServerError: { status : 403....
weixin_54727848的博客
03-29 2763
阿里云存储遇到的坑
OSS 403 原因
weixin_43462500的博客
07-11 3673
springcloud整合oss报403问题 一. 跨域问题——需要在服务器配置允许跨域二. 权限问题——需要给ak和as设置管理OSS权限三. 过期时间expireTime问题——四. 注意:一定先用OSS文档提供demo测试自己OSS是否正常上传。像第三种报错信息,我把所有报错信息排查了,都没有解决了,因为整合springcloud报错信息不一定是文档中那样。所以当遇到问题,先使用OSS文档测试一下,可以准确定位自己的报错信息。 一. 跨域问题——需要在服务器配置允许跨域 按照我上面配置,然
【阿里云OSS】403错误,AccessDenied:The bucket you access does not belong to you.
热门推荐
sayyy的专栏
09-25 2万+
前言 Browser.js 6.x Browser.js 官方文档:https://help.aliyun.com/document_detail/64040.html GITHUB地址:https://gitee.com/mirrors/ali-oss GITEE镜像地址:https://github.com/ali-sdk/ali-oss 示例:列出所有对象(测试bucket,对象数量较少) <html> <head> </head> <body>&l
阿里云oss部署静态网页
dazer的专栏
11-07 6230
使用阿里云OSS部署静态网页 阿里云oss很强大,存放文件、部署静态网页(包含html网页、vue网页、react网页)、 并且在oss网页里面调用其他服务器接口、强制https都是可以的。 一 测试网站效果 名称 网站地址 特色 截图 缺点 纯静态网页 幼儿园 纯静态网站 首页、新闻页面 vue网站 传统文化 vue项目,支持调用后台接口,注意后端java跨域设置、nginx跨域设置 vue前端-调用接口-后端需配跨域设置、支持https 不能强制https,可以访问http 返回
阿里云的ALB如何实现http域名强制转到https域名
JackieJia的博客
06-11 1010
比如可以设置两个默认的端口80,443分别支持http或https,本文介绍的则是通过应用前置的负载均衡器设置转发规则,实现http请求强制转换到https,如下主要是针对阿里云的ALB服务进下说明配置的流程。通常我们申请域名之后,应用侧都会基于域名对应的ssl证书进下控制,目前通用的有商业版的负载均衡和开源的代理工具比如nginx,通过负载均衡工具一般都可以支持请求的协议是http或https。其中需要注意的配置如下,转发条件选择【路径】,匹配的路径填写/,转发动作选择【重定向至】
阿里云主机的网站被拦截提示“该内容被禁止访问”如何解决?
云计算技术达人
05-12 5276
很多客户的网站被拦截并提示:“该内容被禁止访问”,大多数客户使用的都是阿里云的虚拟主机以及ECS服务器,最近发生这种问题的网站也越来越多,这几天刚解决完一个客户网站被阿里云:违规URL屏蔽访问处理通知并拦截。 怎么处理“该内容被禁止访问”这个问题呢? 根据客户的反应,目前公司网站打开首页直接显示“该内容被禁止访问”,之前网站被篡改过,从百度点击进去会直接跳转到赌博网站,网站在百度里的收录也...
阿里OSS配置https,使用CDN方式
weixin_34178244的博客
08-07 1799
2019独角兽企业重金招聘Python工程师标准>>> ...
掌握阿里云OSS的STS临时授权访问技术
在实现临时授权访问OSS时,首先需要使用STS服务生成临时的安全凭证(Token)。这个Token可以指定具体的权限和过期时间,从而可以精确控制第三方访问的范围和时间。生成Token的过程一般涉及到几个关键参数:STS的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值