目錄

• 前言
• 概念
• • OSS提供的權限控制策略
  • RAM Policy
  • Bucket Policy
  • Bucket ACL
  • Object ACL
• 當Bucket同時存在多個權限控制策略（如RAM Policy、Bucket Policy、Bucket ACL、Object ACL）時的鑒權流程
• 使用STS臨時授權訪問OSS
• OSS資源允許匿名訪問的設置
• • 方式1：Bucket ACL 設置成公共讀
  • 方式2：Object ACL 設置成公共讀
  • 方式3：Bucket Policy 設置指定目錄
• OSS資源匿名訪問
• 使用STS臨時授權訪問OSS

前言

• OSS API接口版本，2022-01-12

概念

OSS提供的權限控制策略

• RAM Policy（基于用戶的授權策略）：在RAM 控制臺中進行授權
• Bucket Policy（基于資源的授權策略）：在Bucket 控制臺中進行授權
• Bucket ACL（Bucket級別的讀寫權限ACL）：對匿名用戶授權
• Object ACL（Object級別的讀寫權限ACL）：對匿名用戶授權

RAM Policy

• 在RAM 控制臺設置 RAM Policy
• 使用STS臨時授權訪問OSS時，RAM Policy起效

Bucket Policy

• 在 Bucket -> 權限管理 -> Bucket 授權策略 中設置 Bucket Policy
  
• 設置 Bucket Policy
  
  • 授權資源：整個Bucket、指定資源
  • 授權用戶：匿名帳戶、子賬號、其他賬號
  • 授權操作：只讀、讀/寫、完全控制、拒絕訪問
• 使用STS臨時授權訪問OSS時，Bucket Policy起效

Bucket ACL

• 在 Bucket -> 權限管理 -> 讀寫權限 中設置 Bucket ACL
  
• 設置 Bucket ACL
  
  • 讀寫權限設置

Object ACL

• 在 Bucket -> 文件管理 -> 上傳文件 中設置 Object ACL
  

• 設置 Object ACL
  

  • 文件ACL：繼承 Bucket、私有、公共讀、公共讀寫
  • 讀寫權限設置

當Bucket同時存在多個權限控制策略（如RAM Policy、Bucket Policy、Bucket ACL、Object ACL）時的鑒權流程

當Bucket同時存在多個權限控制策略（如RAM Policy、Bucket Policy、Bucket ACL、Object ACL）時，詳細鑒權流程請參見OSS鑒權詳解。
概括一下：

• 檢查STS臨時授權，如果有權限則允許訪問，否則，檢查讀寫權限ACL。
• 檢查讀寫權限ACL（先檢查Object ACL，再檢查Bucket ACL），如果有權限則允許訪問，否則拒絕訪問。

使用STS臨時授權訪問OSS

參考使用STS臨時授權訪問OSS。

OSS資源允許匿名訪問的設置

方式1：Bucket ACL 設置成公共讀

官方不建議這個方式，那就盡量別用。了解一下好了。

方式2：Object ACL 設置成公共讀

每個資源都要設置一次，顯得很繁瑣，這個也盡量別用。
這個方式還不如上一個呢。

方式3：Bucket Policy 設置指定目錄

OSS資源匿名訪問

• url 形如：https://xxx.xxx.cn/static/1.jpg
• 注意：通過阿里云域名生成的文件URL訪問圖片時，默認是下載行為。如需確保通過文件URL訪問圖片時是預覽行為，您需要綁定自定義域名并添加CNAME記錄。具體操作，請參見綁定自定義域名。

使用STS臨時授權訪問OSS

• url 形如：https://xxx.xxx.cn/static/1.jpg?Expires=1641975234&OSSAccessKeyId=xxxxx&Signature=xxxxx
• 注意：通過阿里云域名生成的文件URL訪問圖片時，默認是下載行為。如需確保通過文件URL訪問圖片時是預覽行為，您需要綁定自定義域名并添加CNAME記錄。具體操作，請參見綁定自定義域名。

總結

以上是生活随笔為你收集整理的【阿里云OSS】访问控制的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。