通過Bucket Policy限制公網(wǎng)訪問OSS
Bucket Policy是阿里云對(duì)象存儲(chǔ)OSS推出的針對(duì)存儲(chǔ)空間(Bucket)的授權(quán)策略,您可以通過Bucket Policy禁止指定的RAM用戶通過公網(wǎng)訪問您指定的OSS資源。
場(chǎng)景描述
企業(yè)A在華東1(杭州)地域創(chuàng)建了名為examplebucket的存儲(chǔ)空間,examplebucket的目錄examplefolder下存放了大量的企業(yè)內(nèi)部資料。企業(yè)A不希望指定的合作伙伴以RAM用戶的方式通過公網(wǎng)訪問examplefolder下的資源。
為滿足企業(yè)A的以上需求,您可以通過策略語法的方式配置Bucket Policy。
操作方式
單擊Bucket 列表,然后單擊examplebucket。
在左側(cè)導(dǎo)航欄,選擇。
在Bucket 授權(quán)策略頁面的按語法策略添加頁簽,單擊編輯。
在語法策略輸入框中,輸入以下Policy。
以下授權(quán)策略中,137918634953xxxx為examplebucket擁有者的UID,Principal元素下包含的UID為RAM用戶的UID。
{ "Version": "1", "Statement": [{ "Effect": "Deny", "Action": [ "oss:RestoreObject", "oss:ListObjects", "oss:AbortMultipartUpload", "oss:PutObjectAcl", "oss:GetObjectAcl", "oss:ListParts", "oss:DeleteObject", "oss:PutObject", "oss:GetObject", "oss:GetVodPlaylist", "oss:PostVodPlaylist", "oss:PublishRtmpStream", "oss:ListObjectVersions", "oss:GetObjectVersion", "oss:GetObjectVersionAcl", "oss:RestoreObjectVersion" ], "Principal": [ "26642223584287xxxx", "27658173539067xxxx", "24430533117653xxxx" ], "Resource": [ "acs:oss:*:137918634953xxxx:examplebucket/examplefolder/*" ], "Condition": { "StringNotLike": { "acs:SourceVpc": [ "vpc-*" ] } } }, { "Effect": "Deny", "Action": [ "oss:ListObjects", "oss:GetObject" ], "Principal": [ "26642223584287xxxx", "27658173539067xxxx", "24430533117653xxxx" ], "Resource": [ "acs:oss:*:137918634953xxxx:examplebucket" ], "Condition": { "StringLike": { "oss:Prefix": [ "examplefolder/*" ] }, "StringNotLike": { "acs:SourceVpc": [ "vpc-*" ] } } }] }單擊保存后,在彈出的對(duì)話框,單擊確定。
相關(guān)文檔
企業(yè)不同部門或項(xiàng)目之間需要共享數(shù)據(jù)。如果您希望其他部門的用戶可以下載本部分的共享數(shù)據(jù),禁止寫入和刪除數(shù)據(jù),以降低共享數(shù)據(jù)被誤刪、篡改的風(fēng)險(xiǎn),請(qǐng)參見基于Bucket Policy實(shí)現(xiàn)跨部門數(shù)據(jù)共享的教程示例進(jìn)行配置。
如果您需要對(duì)同賬號(hào)以及跨賬號(hào)下的RAM用戶,或者匿名用戶等授予訪問或管理Bucket資源的不同權(quán)限,例如只讀、讀寫權(quán)限等,請(qǐng)參見Bucket Policy常見示例進(jìn)行配置。