在使用OSS的时候,我们可能会遇到这种情况:公司内部的机密文件仅允许员工在企业内部访问。但是由于员工太多,单独针对每个账号设置权限,工作量太大大。此时我们可以通过Bucket Policy添加允许IP的条件进行限制。
控制台设置
首先,登录对象存储控制台,选择已创建的Bucket名称,点击文件管理→授权→新增授权,选择授权资源为整个Bucket。授权用户选择所有用户,权限选择只读权限,条件选择IP等于。
若限定在阿里云内网访问,则此处IP设置ECS等网络的内网IP地址;若限定外网访问,则源IP地址设置公司外网出口地址;多个IP请用英文的逗号(,)隔开(IP地址段可用CIDR格式)。单击确定完成操作。
通过OSSutil验证
以Windows7 64位系统为例,使用ossutil连接被授权账号,输入命令:ossutil64.exe cp oss://20181029/abc d:\ -r,意思是复制所有文件到D盘,提示下载成功。
现在我们更改一下授权策略的源IP,看一下效果。
现在可以看到下载文件已经提示失败。
查看D盘也能看到没有成功下载。
更多信息参见:对象存储 OSS > 使用Bucket Policy授权其他用户访问OSS资源
