鑒于公共讀Bucket允許任何人(包括匿名訪問者)對該Bucket中的文件進行讀操作,公共讀寫Bucket允許任何人(包括匿名訪問者)對該Bucket內文件進行讀寫操作。如果Bucket設置了公共讀或者公共讀寫權限,會引發數據泄露以及增加數據安全風險。為保護您的數據安全,建議通過阻止公共訪問或者配置RAM Policy的方式阻止用戶創建公共讀或公共讀寫權限的Bucket。
使用場景
限制類型 | 使用場景 |
| |
|
阻止阿里云賬號以及關聯的所有RAM用戶創建公共讀或者公共讀寫的Bucket
您可以通過為OSS全局開啟阻止公共訪問的方式,阻止當前阿里云賬號以及關聯的所有RAM用戶創建公共讀以及公共讀寫的Bucket。具體步驟如下:
登錄OSS管理控制臺。
在左側導航欄,選擇。
在阻止公共訪問頁面,開啟阻止公共訪問,然后按照頁面指引完成開啟操作。
為OSS全局開啟阻止公共訪問后,不允許創建具有公共訪問權限的新Bucket,且已有Bucket配置的公共訪問權限也會被忽略。即無論是新創建還是已有的Bucket,Bucket內的數據均不允許公共訪問。
阻止指定的RAM用戶創建公共讀或者公共讀寫的Bucket
您可以通過阿里云賬號為指定的RAM用戶配置RAM Policy的方式,阻止指定的RAM用戶創建公共讀以及公共讀寫的Bucket。具體步驟如下:
通過腳本編輯模式創建以下RAM Policy。具體步驟,請參見通過腳本編輯模式創建自定義權限策略。
{ "Version": "1", "Statement": [ { "Effect": "Deny", "Action": [ "oss:PutBucket" ], "Resource": [ "acs:oss:*:*:*" ], "Condition": { "StringLike": { "oss:x-oss-acl": [ "public-read", "public-read-write" ] } } }, { "Effect": "Allow", "Action": [ "oss:PutBucket" ], "Resource": [ "acs:oss:*:*:*" ] } ] }為RAM用戶授予以上創建的RAM Policy。具體步驟,請參見為RAM用戶授權。
相關文檔
如需了解Bucket的讀寫權限類型,請參見Bucket ACL。
如需了解RAM Policy的語法結構和權限管控,請參見RAM Policy。
如需了解設置阻止公共訪問后的效果,請參見阻止公共訪問。