AI 助理
备案控制台
开发者社区 > 云存储 > 对象存储OSS > 正文

OSS 无法通过 policy 授权 STS 带有特殊字符的资源

已解决

使用的policy如下

{
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "oss:PutObject",
                "oss:ListParts",
                "oss:AbortMultipartUpload",
                "oss:GetObject",
                "oss:DeleteObject"
            ],
            "Resource": [
                "acs:oss:*:*:my-bucket/Test/user:123/*"
            ]
        }
    ]
}

向 my-bucket/Test/user:123/a.txt 上传时

ByteArrayInputStream in = new ByteArrayInputStream("Hello OSS".getBytes());
stsClient.putObject("my-bucket", "Test/user:123/test.txt", in);

被权限拒绝

com.aliyun.oss.OSSException: Access denied by authorizer's policy.

但如果去掉冒号,或者授权资源改为my-bucket/Test/* 就一切正常,就是单独为带特殊符号的路径授权时无效

展开
收起
ejsv4wbtnra2i 2023-12-08 16:55:50 208 0
3 条回答
写回答
取消 提交回答
  • 小周sir
    面对过去,不要迷离;面对未来,不必彷徨;活在今天,你只要把自己完全展示给别人看。
    采纳回答

    这个问题是由于OSS的权限策略中,资源路径不能包含冒号(:)。你可以尝试将资源路径中的冒号替换为其他字符,例如下划线(_)或者短横线(-),然后再进行授权。

    修改后的policy如下:

    {
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "oss:PutObject",
                "oss:ListParts",
                "oss:AbortMultipartUpload",
                "oss:GetObject",
                "oss:DeleteObject"
            ],
            "Resource": [
                "acs:oss:*:*:my-bucket/Test/user_123/*"
            ]
        }
    ]
}

    然后,你可以使用以下代码上传文件:

    ByteArrayInputStream in = new ByteArrayInputStream("Hello OSS".getBytes());
stsClient.putObject("my-bucket", "Test/user_123/test.txt", in);
    2023-12-09 11:01:40
    赞同 1 展开评论 打赏
  • Star时光

    您遇到的问题可能与OSS的URL编码规则有关。当您的资源路径包含特殊字符(如冒号)时,这些字符需要进行URL编码才能正确地作为授权策略中的资源。

    要解决这个问题,您可以尝试以下方法:

    1. 使用URL编码

      • 在创建授权策略时,将特殊字符替换为其对应的URL编码。
      • 对于冒号(:),其对应的URL编码是 %3A
      • 将授权策略修改为如下形式:
        {
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "oss:PutObject",
                "oss:ListParts",
                "oss:AbortMultipartUpload",
                "oss:GetObject",
                "oss:DeleteObject"
            ],
            "Resource": [
                "acs:oss:*:*:my-bucket/Test/user%3A123/*"
            ]
        }
    ]
}

    2. 使用通配符

      • 如果您希望避免对所有特殊字符进行编码,可以考虑使用通配符(*)来匹配任意字符。
      • 例如,您可以将授权策略中的资源部分改为 "acs:oss:*:*:my-bucket/Test/user*/*",这样就可以匹配到包含冒号的路径。

    3. 使用预签名URL上传文件

      • 如果您仍然无法通过STS客户端直接上传文件,还可以考虑使用预签名URL的方式来上传文件。
      • 首先,使用STS客户端生成一个预签名URL,然后使用该URL直接上传文件。
    2023-12-08 19:56:33
    赞同 展开评论 打赏
  • 三掌柜666
    十分耕耘,一定会有一分收获!

    楼主你好,看了你的问题,个人觉得是由于冒号是URL中的保留字符,需要经过URL编码才能正确传递,你可以使用Java中的URLEncoder类对资源进行URL编码,然后将编码后的资源名称作为授权资源。

    String encodedResource = URLEncoder.encode("my-bucket/Test/user:123/a.txt", "UTF-8");
String resource = "acs:oss:*:*:" + encodedResource;
policyObject.put("Resource", new String[] { resource });

    然后在上传时,需要将文件名使用encodeURI或encodeURIComponent进行编码,以便能够在URL中正确地传递冒号字符。

    String encodedFileName = encodeURIComponent("Test/user:123/a.txt");
ByteArrayInputStream in = new ByteArrayInputStream("Hello OSS".getBytes());
stsClient.putObject("my-bucket", encodedFileName, in);
    2023-12-08 19:24:53
    赞同 展开评论 打赏
问答分类:
对象存储 对象存储
问答标签:
对象存储资源 对象存储授权 对象存储sts 对象存储policy 对象存储sts资源
问答地址:
开发者社区 > 云存储 > 对象存储OSS > 问答
相关产品:
对象存储

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关问答
对象存储OSS
OSS私有bucket的资源如何获取链接
330
1
0
OSS使用sts生成签名url的有效期
283
1
0
在Node.js环境中,如何使用阿里云OSS临时授权上传文件?
151
1
0
存储在OSS中的资源外网不可访问,会影响使用吗?
31
1
0
OSS签名URL授权的SDK最新版本是什么?
57
1
0
可以将某个 oss 的管理权限授权到某个用户吗?
65
1
0
oss signURL生成的地址有效期60秒,但资源下载超过了60秒,下载会不会中断?
145
1
0
阿里云安全OSS违规检测出来的照片可以授权阿里云自行删除吗?
42
1
0
OSS browser的授权码的有效时长设置区间
49
1
0
OSS是否可以授权第三方指定目录
31
1
0
云存储

对象存储OSS

对象存储 OSS 是一款安全、稳定、高性价比、高性能的云存储服务,可以帮助各行业的客户在互联网应用、大数据分析、机器学习、数据归档等各种使用场景存储任意数量的数据,以及进行任意位置的访问,同时通过丰富的数据处理能力更便捷地使用数据。

我要提问

相关产品

  • 对象存储
    文档详情 产品详情

    • 热门讨论

    热门文章

  • OSS如何实现打开图片后不是下载,而是在线预览?
    9084
  • 对象存储oss免费存储空间,免费流量和免费访问量是多少
    7446
  • oss购买的资源包和预留空间有什么区别,只购买了预留空间会自动抵扣吗
    4776
  • 如何预览阿里云OSS中存储的图片?
    598
  • 在使用阿里云oss的时候,报了一个错“com.aliyun.oss.ClientException”
    4552
  • The OSS Access Key Id you provided does not...错误
    3496
  • 阿里云对象存储oss的图片无法在网页显示
    977
  • oss预留空间是什么意思?有什么作用?
    361
  • 阿里云存储到oss的文件如何查看?
    450
  • 要将一个OSS Bucket目录复制到另一个Bucket目录怎么做?
    408
    • 展开全部
  • 17岁少年设计阅读软件成千万富翁
    1367
  • 快速读懂对象存储 OSS数据处理介绍
    2812
  • 对象存储oss使用问题之操作报错:Unable to execute HTTP request: SocketException如何解决
    2901
  • 手把手教你搭建阿里云图床(PicGo+Typora+阿里云OSS),新手小白一看就会
    2863
  • 对象存储oss使用问题之操作报错:The request signature we calculated does not match the signature you provide如何解决
    2491
  • 【三方服务集成】最新版 | 阿里云OSS对象存储服务使用教程(包含OSS工具类优化、自定义阿里云OSS服务starter)
    250
  • 对象存储OSS快速上手——ossutil工具管理OSS
    2794
  • springboot配置阿里云OSS存储实现文件上传下载功能
    2091
  • 基于nginx反向代理实现OSS固定域名IP访问
    1612
  • 连接重置常见原因及排查方法
    23137
    • 展开全部

    相关课程

    更多
  • 对象存储OSS的云上可观测能力最佳实践
    76
    1
    去学习
  • 基于FC+NAS部署SD服务,并从OSS模型库下载模型文件
    133
    1
    去学习

    • 相关文章

  • 阿里云对象存储OSS收费标准,存储、流量和请求等多个计费项
  • SpringBoot结合Minio实现文件切片上传:提升上传效率的秘诀
  • 散列表的数据结构以及对象在JVM堆中的存储过程
  • 带你读《阿里云安全白皮书》(二十)——云上安全重要支柱(14)

    • 相关电子书

    更多
    • OSS运维进阶实战手册 立即下载
    《OSS运维基础实战手册》 立即下载
    OSS运维基础实战手册 立即下载

    相关实验场景

    更多
  • 对象存储OSS Bucket冗余类型转换
    60
    1.0小时
    去实验
  • 基于对象存储工具ossfs的操作指南
    103
    2.0小时
    去实验
  • 使用OSS助力游戏资源加速
    145
    1.0小时
    去实验
  • 利用HBR实现OSS文件备份
    331
    1.0小时
    去实验
  • 使用日志服务SLS进行OSS可观测分析
    1057
    1.0小时
    去实验
  • 热门Stable Diffusion模型库一键转存至OSS并挂载到PAI-EAS推理训练
    1094
    1.0小时
    去实验