1020 windows

Bucket權限分離__權限管理_最佳實踐_對象存儲 OSS-阿裏雲

再來考慮一種場景，已經有別的用戶在使用開發的App，那麼可以考慮用單獨的Bucket來存儲用戶的App數據，假定為ram-test-app。那麼考慮到權限隔離的問題，就不應該讓應用服務器訪問到ram-test-app，即僅授予ram_test_pub這個賬號ram-test-dev的讀權限。這也是可以通過RAM的權限係統來完成的。具體操作步驟如下：

由於係統中沒有Bucket級別的默認策略，因此需要自定義策略，如下圖示：

這裏Bucket訪問的策略如下，其他更詳細的可以參考 RAM策略的說明和 OSS授權問題FAQ。

 {
   "Version": "1",
   "Statement": [
     {
       "Effect": "Allow",
       "Action": [
         "oss:ListObjects",
         "oss:GetObject"
       ],
       "Resource": [
         "acs:oss:*:*:ram-test-dev",
         "acs:oss:*:*:ram-test-dev/*"
       ]
     }
   ]
 }

設置完成之後可以在自定義授權策略列表中看到。

在用戶的授權管理中將該策略加入授權範圍，並且在用戶管理> 管理 >用戶授權策略 中將之前授予的OSS全部可讀權限解除。

測試權限設置的有效性。

可以訪問ram-test-dev的Object：

$./osscmd get oss://ram-test-dev/test.txt test.txt --host=oss-cn-hangzhou.aliyuncs.com -i 9EzKokeQfGvJRQKu -k I4u6pLNhrQNKnpWQuM4szJfxhOLRGm 
100%  The object test.txt is downloaded to test.txt, please check.
0.047(s) elapsed

訪問ram-test-app的Object失敗：

 $./osscmd get oss://ram-test-app/test.txt test.txt --host=oss-cn-hangzhou.aliyuncs.com -i 9EzKokeQfGvJRQKu -k I4u6pLNhrQNKnpWQuM4szJfxhOLRGm
 Error Headers:
 [('content-length', '229'), ('server', 'AliyunOSS'), ('connection', 'keep-alive'), ('x-oss-request-id', '5646ED53F9EEA2F3324191A2'), ('date', 'Sat, 14 Nov 2015 08:14:11 GMT'), ('content-type', 'application/xml')]
 Error Body:
 <?xml version="1.0" encoding="UTF-8"?>
 <Error>
   <Code>AccessDenied</Code>
   <Message>AccessDenied</Message>
   <RequestId>5646ED53F9EEA2F3324191A2</RequestId>
   <HostId>ram-test-app.oss-cn-hangzhou.aliyuncs.com</HostId>
 </Error>
 Error Status:
 403
 get Failed!

上傳文件到oss-test-app也失敗：


 $./osscmd put test.txt oss://ram-test-app/test.txt  --host=oss-cn-hangzhou.aliyuncs.com -i 9EzKokeQfGvJRQKu -k I4u6pLNhrQNKnpWQuM4szJfxhOLRGm           
 100%  Error Headers:
 [('content-length', '229'), ('server', 'AliyunOSS'), ('connection', 'keep-alive'), ('x-oss-request-id', '5646ED7BB8DE437A912DC7A8'), ('date', 'Sat, 14 Nov 2015 08:14:51 GMT'), ('content-type', 'application/xml')]
 Error Body:
 <?xml version="1.0" encoding="UTF-8"?>
 <Error>
   <Code>AccessDenied</Code>
   <Message>AccessDenied</Message>
   <RequestId>5646ED7BB8DE437A912DC7A8</RequestId>
   <HostId>ram-test-app.oss-cn-hangzhou.aliyuncs.com</HostId>
 </Error>
 Error Status:
 403
 put Failed!

通過上文的設置，就成功的將ram-test-dev和ram-test-app的權限完全區分開了。


上麵介紹的主要是如何使用子賬號的權限控製功能來分割權限，將信息泄露造成的危害降到最低。
如果用戶有更複雜的權限控製需求，也可以參考 RAM用戶指南。
 最後更新：2016-11-23 16:04:09
  上一篇： 讀寫權限分離__權限管理_最佳實踐_對象存儲 OSS-阿裏雲
  下一篇： STS臨時授權訪問__權限管理_最佳實踐_對象存儲 OSS-阿裏雲
相關內容
 CreateLoadBalancerUDPListener__Listener相關API_API 參考_負載均衡-阿裏雲
 下拉提示操作__JavaSDK手冊_SDK參考手冊_開放搜索-阿裏雲
 代碼模式__腳本開發_Lite用戶使用手冊_性能測試-阿裏雲
 文本反垃圾接口__文本反垃圾API_內容檢測API文檔_阿裏綠網-阿裏雲
 設備狀態回調通知__服務器端API_阿裏雲物聯網套件-阿裏雲
 插件管理__快速入門_雲數據庫 HybridDB-阿裏雲
 API產品接入__商品接入_服務商_雲市場-阿裏雲
 步驟 2：創建Windows實例__快速入門(Windows)_雲服務器 ECS-阿裏雲
 線上自助實驗__上雲培訓介紹_上雲培訓-阿裏雲
 分析接口配置__使用手冊_畫像分析-阿裏雲
熱門內容
 常見錯誤說明__附錄_大數據計算服務-阿裏雲
 發送短信接口__API使用手冊_短信服務-阿裏雲
 接口文檔__Android_安全組件教程_移動安全-阿裏雲
 運營商錯誤碼（聯通）__常見問題_短信服務-阿裏雲
 設置短信模板__使用手冊_短信服務-阿裏雲
 OSS 權限問題及排查__常見錯誤及排除_最佳實踐_對象存儲 OSS-阿裏雲
 消息通知__操作指南_批量計算-阿裏雲
 設備端快速接入(MQTT)__快速開始_阿裏雲物聯網套件-阿裏雲
 查詢API調用流量數據__API管理相關接口_API_API 網關-阿裏雲
 使用STS訪問__JavaScript-SDK_SDK 參考_對象存儲 OSS-阿裏雲
最新內容
 阿裏雲快速建站指南：從零到一輕鬆擁有你的網站
 阿裏雲盤視頻上傳攻略：快速、高效、無憂
 阿裏雲是什麼？深度解析阿裏雲的雲計算服務
 阿裏雲：中國領先的雲計算平台深度解析
 阿裏雲IoT平台設備數據獲取全攻略
 阿裏雲盤高效查看圖片的多種方法詳解
 阿裏雲工具雲深度解析：高效協同，加速雲上開發
 阿裏金融雲：深入解析其定位與服務
 阿裏雲智慧雲：解讀雲端智能化轉型利器
 阿裏雲資料高效打印指南：從控製台到本地文件

Bucket權限分離__權限管理_最佳實踐_對象存儲 OSS-阿裏雲

上一篇： 讀寫權限分離__權限管理_最佳實踐_對象存儲 OSS-阿裏雲

下一篇： STS臨時授權訪問__權限管理_最佳實踐_對象存儲 OSS-阿裏雲

相關內容

熱門內容

最新內容

上一篇：讀寫權限分離__權限管理_最佳實踐_對象存儲 OSS-阿裏雲