OSS访问授权

简介: 对象存储通常都会提供控制列表(Access Control List, ACL)的读/写权限、授权策略、防盗链等功能,实现存储资源的访问控制和管理。

1、读/写ACL权限

对象存储针对存储空间(Bucket)和对象(Object)提供2这种类型的ACL:Bucket ACL和Object ACL,分别如表1和表2所示,可以在创建存储空间或者上传对象后的任意时间内修改ACL。

对象的读/写权限,首先默认继承Bucket ACL。但是,专门设置的Object ACL权限大于Bucket ACL权限。例如,设置对象1的Object ACL权限为public-read,则无论Bucket ACL权限配置如何,该对象1都可被公共读访问。

表1 Bucket ACL权限值

权限值

名称

权限对访问者的限制

public-read-write

公共读/写

任何人(包括匿名访问者)都可以对该存储空间中的对象进行读/写/删除操作,所有这些操作产生的费用由该存储空间的Owner承担,请慎用该权限

public-read

公共读

只有该存储空间Owner或者授权对象可以对存放在其中的对象进行写/删除操作,其他任何人(包括匿名访问者)可以对对象进行读操作

private

私有

只有该存储空间的Owner或者授权对象可以对存放在其中的对象进行读/写/删除操作,其他人在未经授权的情况下无法访问该存储空间的对象

表2 Object ACL权限值

权限值

名称

权限对访问者的限制

public-read-write

公共读/写

所有用户都拥有对该对象的读/写权限

public-read

公共读

非对象的Owner只有该对象的读权限,对象的Owner拥有Owner拥有读/写权限

private

私有

只有该对象的Owner拥有该对象的读/写权限,其他用户根据授权范围确认是否有该对象的读/写权限。

default

继承Bucket ACL

对象遵循Bucket ACL的权限

2、基于用户的授权策略RAM Policy

     ACL提供的权限粒度较粗,主要是读/写控制,没有实现对象存储具体操作的细粒度权限控制,导致使用时无法达到精细化。为了解决此问题,引入授权策略来限制用户可用的对象存储具体操作,从而实现更精确的权限控制。针对特定的RAM子用户、RAM组,指定策略来授权该用户/组能访问的资源,该策略就是RAM Policy。编写RAM Policy时要采用JSON格式,可以通过如下字段来定义。

  1. Version,策略格式的版本号。
  2. Statement,描述授权语义。每条语义都对Effect、Action、Resource和Condition 的描述。
  • Effect(效力),通过配置允许或者拒绝,控制用户的执行效果。
  • Action(操作),对应各种云资源描述,如OSS的PutObject。
  • Resource(资源),表示授权的云资源描述,如OSS的存储空间和对象资源。
  • Condition(条件),表示授权生效的条件,如来自指定的IP地址。

如下是对存储空间(名字为mybucket)进行完全控制权限的RAM Policy,在RAM控制台将该策略授予某RAM子用户,就可以控制该RAM子用户的权限。

3、基于资源的授权策略Bucket Policy

从资源管理的角度,需要将对象存储的数据共享给多个用户访问。如果采用基于用户的RAM Pollicy,需要为每个用户配置厕率,在希望共享访问的用户数量上万时,配置工作将会非常繁琐。

为了解决该问题,对象存储OSS提供Bucket Policy功能,该功能控制存储资源被指定的用户访问。基于图形界面的Bucket Policy简单易用,Bucket Policy如图1所示。

图1 Bucket Policy

相关实践学习
对象存储OSS快速上手——如何使用ossbrowser
本实验是对象存储OSS入门级实验。通过本实验,用户可学会如何用对象OSS的插件,进行简单的数据存、查、删等操作。
相关文章
|
敏捷开发 测试技术 持续交付
云效产品使用常见问题之账号授权就能对当前主账号下所有 OSS 进行读写权限如何解决
云效作为一款全面覆盖研发全生命周期管理的云端效能平台,致力于帮助企业实现高效协同、敏捷研发和持续交付。本合集收集整理了用户在使用云效过程中遇到的常见问题,问题涉及项目创建与管理、需求规划与迭代、代码托管与版本控制、自动化测试、持续集成与发布等方面。
|
存储 人工智能 Kubernetes
AI 场景深度优化!K8s 集群 OSSFS 2.0 存储卷全面升级,高效访问 OSS 数据
阿里云对象存储OSS是一款海量、安全、低成本、高可靠的云存储服务,是用户在云上存储的高性价比选择…
|
11月前
|
存储 缓存 网络协议
如何使用CDN加速访问OSS存储的图片资源?
通过阿里云CDN加速OSS上的图片和视频资源,可显著提升访问速度、降低带宽成本。CDN将静态资源缓存至离用户最近的节点,减少加载时间,并提供图像处理、缓存优化等功能,提升用户体验。同时,CDN还支持访问数据分析,助力运营决策。本文详解如何通过CDN控制台配置OSS加速,包括添加域名、设置CNAME、配置缓存策略等步骤,帮助您快速实现资源加速。
|
存储 Kubernetes 对象存储
StrmVol存储卷:如何解锁K8s对象存储海量小文件访问性能新高度?
如何提升海量文件的数据读取速率,对于AI训练集管理、量化回测、时序日志分析等场景尤为重要。阿里云容器服务(ACK))支持StrmVol类型存储卷,基于底层虚拟块设备及内核态文件系统,显著降低海量小文件访问延迟。
|
存储 Kubernetes 对象存储
StrmVol 存储卷:解锁 K8s 对象存储海量小文件访问性能新高度
本文介绍了阿里云容器服务(ACK)支持的StrmVol存储卷方案,旨在解决Kubernetes环境中海量小文件访问性能瓶颈问题。通过虚拟块设备与内核态文件系统(如EROFS)结合,StrmVol显著降低了小文件访问延迟,适用于AI训练集加载、时序日志分析等场景。其核心优化包括内存预取加速、减少I/O等待、内核态直接读取避免用户态切换开销,以及轻量索引快速初始化。示例中展示了基于Argo Workflows的工作流任务,模拟分布式图像数据集加载,测试结果显示平均处理时间为21秒。StrmVol适合只读场景且OSS端数据无需频繁更新的情况,详细使用方法可参考官方文档。
2402 145
|
存储 人工智能 测试技术
AI 场景深度优化!K8s 集群 OSSFS 2.0 存储卷全面升级,高效访问 OSS 数据
OSSFS 2.0通过轻量化协议设计、协程化技术及FUSE3低级API重构,实现大文件顺序读写与小文件高并发加载的显著提升,在实际测试中表现出高达数十倍的吞吐量增长。适用于机器学习训练、推理等对高带宽低延迟要求严苛的场景,同时支持静态和动态挂载方式,方便用户在ACK集群中部署使用。
1672 34
|
存储 应用服务中间件 开发工具
对象存储OSS-Python设置代理访问请求
通过 Python SDK 配置 nginx 代理地址请求阿里云 OSS 存储桶服务。示例代码展示了如何使用 RAM 账号进行身份验证,并通过代理下载指定对象到本地文件。
745 15
|
存储 人工智能 缓存
AI助理直击要害,从繁复中提炼精华——使用CDN加速访问OSS存储的图片
本案例介绍如何利用AI助理快速实现OSS存储的图片接入CDN,以加速图片访问。通过AI助理提炼关键操作步骤,避免在复杂文档中寻找解决方案。主要步骤包括开通CDN、添加加速域名、配置CNAME等。实测显示,接入CDN后图片加载时间显著缩短,验证了加速效果。此方法大幅提高了操作效率,降低了学习成本。
6244 16
|
存储 网络安全 对象存储
缺乏中间证书导致通过HTTPS协议访问OSS异常
【10月更文挑战第4天】缺乏中间证书导致通过HTTPS协议访问OSS异常
1397 4
|
分布式计算 DataWorks 数据处理
MaxCompute操作报错合集之UDF访问OSS,配置白名单后出现报错,是什么原因
MaxCompute是阿里云提供的大规模离线数据处理服务,用于大数据分析、挖掘和报表生成等场景。在使用MaxCompute进行数据处理时,可能会遇到各种操作报错。以下是一些常见的MaxCompute操作报错及其可能的原因与解决措施的合集。
350 2