实现 STS 方式访问 OSS

本文涉及的产品
对象存储 OSS,20GB 3个月
对象存储 OSS,恶意文件检测 1000次 1年
对象存储 OSS,内容安全 1000次 1年
简介: 实现 STS 方式访问 OSS

角色是基于子账号的维度上进行调用,所以需要客户预先准备好一个子账号,具体流程如下

一、创建子账号

image.png

如上图,主账号登陆控制台,创建一个子账号 “xiaoqiang”

二、创建角色

由于 STS 令牌访问是基于角色方式实现的,所以需要创建一个角色,如果只是登陆控制台的话,不需要用到 STS token ,只用角色登陆即可,文章最后有备注。
1、登陆主账号后,到访 RAM 控制台,角色管理,点击创建角色

image.png

2、如下图进行操作即可,创建一个测试角色(role)

image.png

image.png

image.png

三、了解角色的基本属性

image.png

image.png

如上图查看角色基础信息

1、是你创建的角色名称(开发调用,和控制台登陆都会用到)
2、ARN 是角色的身份ID,在开发调用时会用到。
3、可以给角色绑定一个策略,如果不绑定策略,现在就是一个空角色,什么权限也没有。(注意,只能通过绑定策略方式给角色授权,角色本身无法直接修改权限)

四、为角色创建一个单独策略

image.png

image.png

如上图方法创建一个自定义策略,我这里是给的 OSS 管理权限,客户如果要定义不同的场景权限,需要自己去学习下文档自行编写,有些参考例子可以自己看下 教程

五、将权限策略和角色进行绑定

image.png

image.png

image.png

如上图,将之前创建的权限策略 zhangsan_policy 和角色 testzhangsan 绑定在一起。这样角色就具备的访问 OSS 的相关操作权限,剩下的就是让其他的子账号来扮演角色,对应的子账号就有了角色对应的权限。类似面向对象的 “继承” 概念一样。

六、子账号扮演角色

image.png

image.png

image.png

如上图,给子账号授权一个 “AliyunSTSAssumeRoleAccess” 的策略后,zhang san_policy 就能扮演角色 testzhangsan 了,也就能具备角色对应的 OSS 访问权限了。

后续

如果客户要在开发中调用,可以通过 子账号 AccesskeyID 和 Access secretly 、ARN、RoleName 组合去生成 STS token 访问 OSS,具体的生成方法可以用 ossutil 自己去模拟下。

如果客户要登陆控制台,需要在阿里云控制台上通过切换角色的方式登陆。

image.png

相关实践学习
借助OSS搭建在线教育视频课程分享网站
本教程介绍如何基于云服务器ECS和对象存储OSS,搭建一个在线教育视频课程分享网站。
相关文章
|
7月前
|
对象存储
minio临时凭证直传切换到阿里云oss
minio临时凭证直传切换到阿里云oss
541 1
|
4月前
|
API 对象存储 索引
阿里云OSS操作
阿里云OSS操作
|
7月前
|
存储 弹性计算 API
OSS使用方式
OSS使用方式
85 2
|
前端开发 JavaScript Java
阿里云OSS临时凭证前后端配合上传文件
阿里云OSS临时凭证前后端配合上传文件
216 0
|
7月前
|
运维 API 开发工具
对象存储oss使用问题之获取临时访问凭证报错:It is not a map value.如何解决
《对象存储OSS操作报错合集》精选了用户在使用阿里云对象存储服务(OSS)过程中出现的各种常见及疑难报错情况,包括但不限于权限问题、上传下载异常、Bucket配置错误、网络连接问题、跨域资源共享(CORS)设定错误、数据一致性问题以及API调用失败等场景。为用户降低故障排查时间,确保OSS服务的稳定运行与高效利用。
538 0
|
人工智能 安全 对象存储
OSS(一):OSS工具类
阿里云现在很多公司都在用,阿里云稳定,安全,相对来说成本更低;给自己更多思考的是如何让项目减少成本,以及阿里云等带来的商业模式。
1084 1
|
缓存 移动开发 JavaScript
阿里云OSS设置跨域访问
阿里云OSS设置跨域访问
13451 0
|
存储 对象存储 数据安全/隐私保护
配置阿里云Oss
配置阿里云Oss
配置阿里云Oss
|
机器学习/深度学习 存储 小程序
OSS 实践篇-OSS API 鉴权剖析
出现 signature 一般出现客户端自签名调 API 的操作中, signature 的计算稍微复杂点,建议最好用 SDK 来替代计算的过程和多样性。如果业务强需求,先要读懂如果计算 signature。
6707 0
OSS 实践篇-OSS API 鉴权剖析
|
对象存储
实现 STS 方式访问 OSS
实现 STS 方式访问 OSS
实现 STS 方式访问 OSS