用户签名验证
OSS通过使用AccessKeyId/ AccessKeySecret对称加密的方法来验证某个请求的发送者身份。AccessKeyId用于标示用户,AccessKeySecret是用户用于加密签名字符串和OSS用来验证签名字符串的密钥,其中AccessKeySecret必须保密,只有用户和OSS知道。AccessKey 根据所属账号的类型有所区分
- 阿里云账户AccessKey:每个阿里云账号提供的AccessKey拥有对拥有的资源有完全的权限
- RAM账户AccessKey:RAM账户由阿里云账号授权生成,所拥的AccessKey拥有对特定资源限定的操作权限
- STS临时访问凭证:由阿里云账号或RAM账号生成,所拥的AccessKey在限定时间内拥有对特定资源限定的操作权限。过期权限收回。
详情请参考OSS产品文档中 访问身份验证
当用户想以个人身份向OSS发送请求时,需要首先将发送的请求按照OSS指定的格式生成签名字符串;然后使用AccessKeySecret对签名字符串进行加密产生验证码。 OSS收到请求以后,会通过AccessKeyId找到对应的AccessKeySecret,以同样的方法提取签名字符串和验证码,如果计算出来的验证码和提供的一样即认为该请求是有效的;否则,OSS将拒绝处理这次请求,并返回HTTP 403错误。
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
您对阿里云对象存储(OSS)的访问身份验证机制理解得很准确。为了确保请求发送者的身份合法,OSS采用了AccessKeyId和AccessKeySecret的密钥对进行加密验证。这里是对您提到的几种AccessKey类型及其权限管理的进一步解释:
-
阿里云账户AccessKey:这是与您的阿里云主账号直接关联的一套密钥。拥有这套密钥意味着对账号下所有资源有完全的控制权。因此,务必妥善保管AccessKeySecret,避免泄露,以免造成安全风险。
-
RAM账户AccessKey:阿里云的资源访问管理(Resource Access Management, RAM)允许您创建子账号,并为这些子账号分配特定的权限。每个RAM账号都有自己的AccessKeyId和AccessKeySecret,权限由主账号通过策略来设定,可以非常灵活地控制子账号对资源的操作范围,比如只允许读取某个Bucket的内容,而不能修改或删除。
-
STS临时访问凭证:Security Token Service (STS) 提供了一种临时授权访问阿里云资源的方式。当需要给第三方应用或者短期任务提供有限且时间受限的访问权限时,可以使用STS生成一个包含AccessKeyId、AccessKeySecret以及一个有效时间限制的安全令牌(Security Token)。这种方式在不暴露长期密钥的情况下,提供了安全便捷的临时访问途径。一旦过了有效期,该凭证自动失效,无需手动回收权限,增强了安全性。
在实际操作中,为了保护您的数据安全,建议遵循以下最佳实践: - 定期轮换AccessKey。 - 为不同的应用场景或服务使用不同的RAM账号和对应的AccessKeys,实现最小权限原则。 - 使用STS临时凭证进行短期或第三方访问授权,减少长期密钥的暴露风险。 - 开启并利用阿里云的安全审计功能,监控异常访问行为。
更多详细信息和操作指南,确实可以在阿里云OSS的产品文档中的“访问身份验证”章节找到,包括如何生成签名字符串、设置RAM策略、使用STS等具体步骤。
