开发者社区> 问答> 正文

oss访问鉴权方式有哪些?

oss访问鉴权方式有哪些?

展开
收起
河水流流 2024-08-15 10:49:15 242 0
3 条回答
写回答
取消 提交回答
  • OSS访问鉴权主要涉及以下方式:

    1.非匿名请求鉴权:身份验证:比对请求携带的签名与服务端计算的签名。

    • 基于角色的会话策略:若请求关联角色,需比对Session Policy。
    • RAM Policy:基于身份的访问控制策略。
    • Bucket Policy:Bucket级别的访问控制规则。
    • Object ACL:对象级别的访问控制列表。
    • Bucket ACL:Bucket级别的访问控制列表。
    • 权限决策:Allow(允许)、Explicit Deny(明确拒绝)、Implicit Deny(隐式拒绝)。

    2.匿名请求鉴权: 仅依据Bucket Policy、Object ACL和Bucket ACL决定访问权限。 若Bucket或Object设置为公共读/写,则允许访问;否则拒绝。
    3.STS鉴权模式: 获取临时访问凭证(AccessKey ID, AccessKey Secret, SecurityToken),有效期自定义(900秒至角色最大会话时间)。 通过调用STS服务的AssumeRole接口或使用STS SDK获取凭证。 访问控制遵循严格的优先级和规则,确保数据安全同时提供灵活的访问授权机制。

    参考链接:什么是对象存储OSShttps://help.aliyun.com/zh/oss/product-overview/what-is-oss

    2024-08-15 23:03:31
    赞同 4 展开评论 打赏
  • 面对过去,不要迷离;面对未来,不必彷徨;活在今天,你只要把自己完全展示给别人看。
    2024-08-15 14:22:58
    赞同 1 展开评论 打赏
  • 阿里云大降价~

    有很多种的
    比如明文设置:直接使用AccessKeyId和AccessKeySecret进行鉴权。这种方式简单直接,但需谨慎处理密钥安全性。

    自签名模式:生成签名字符串进行鉴权,适用于需要更高安全性的场景,避免长期密钥暴露。

    STS鉴权模式:推荐移动端使用。通过调用STS服务的AssumeRole接口或各语言STS SDK获取临时访问凭证,增强安全性,减少密钥泄露风险。临时凭证具有有效期,过期自动失效,适合短期授权需求。
    RAM用户AccessKey鉴权:适用于企业环境,通过创建RAM用户并分配特定权限策略,使用RAM用户的AccessKey进行鉴权。支持细粒度的权限控制,提高安全性。

    RRSA鉴权方式挂载:适用于Kubernetes环境下的OSS存储卷,通过RAM角色和Rotation Credentials Service Account(RRSA)实现AccessKey的自动轮转,保障长期运行服务的鉴权安全性,避免因AccessKey固定不变带来的风险
    image.png


    参考文档

    2024-08-15 12:50:19
    赞同 4 展开评论 打赏
问答分类:
问答地址:
问答排行榜
最热
最新

相关电子书

更多
OSS运维进阶实战手册 立即下载
《OSS运维基础实战手册》 立即下载
OSS运维基础实战手册 立即下载