• 关于 自动验证权限 的搜索结果

回答

回 1楼竹梅的帖子 每次使用一个jsapi都要进行权限校验么  还是说只要校验过一次,以后都可以不用校验  如我要使用 device.notification.alert  这个api  是不是每次使用的时候 都要进行权限校验 ------------------------- Rejsapi权限验证配置是自动触发的么 接口权限校验报错如下图 ------------------------- Rejsapi权限验证配置是自动触发的么 b.oa后台设置uri和权限校验uri不一致(去掉hash部分)   这个实在哪里设置 ------------------------- Rejsapi权限验证配置是自动触发的么 b.oa后台设置uri和权限校验uri不一致(去掉hash部分)   这个是在哪里设置 我这边还是校验jsapi权限还是报52013 ------------------------- Rejsapi权限验证配置是自动触发的么 我这边怎么验证jsapi权限校验通过 ------------------------- Rejsapi权限验证配置是自动触发的么 我这边怎么验证jsapi权限校验通过,因为不进行jsapi不进行权限校验,也可以执行 dd.ready(function(){     ; });

大海常心 2019-12-02 02:44:25 0 浏览量 回答数 0

问题

jsapi权限验证配置是自动触发的么

大海常心 2019-12-01 21:40:20 4269 浏览量 回答数 5

回答

Re我的邮箱发邮件的时候提示“发件人地址错误”!!          同样,发件人都是默认的 企业域名后缀的,发送不了邮件 外部 发送到 这个邮箱下,提示 发送失败:    解决办法:进入https://    qiye.aliyun.com/admin_alimail/   点击 “增值服务” =》  “MX验证”,点击验证通过后就可以了,应该是阿里云的邮箱服务没有自动验证造成的 我的发帖权限不能发链接地址,以上链接地址 去掉空格 ------------------------- Re我的邮箱发邮件的时候提示“发件人地址错误”!! 外部 发送到 这个邮箱下,提示 发送失败: 解决办法:进入https://    qiye.aliyun.com/admin_alimail/   点击 “增值服务” =》  “MX验证”,点击验证通过后就可以了,应该是阿里云的邮箱服务没有自动验证造成的 我的发帖权限不能发链接地址,以上链接地址 去掉空格

gaga2322 2019-12-02 01:52:31 0 浏览量 回答数 0

阿里云通信

短信服务是阿里云为用户提供的一种通信服务的能力。 支持国内和国际快速发送验证码、短信通知和推广短信。

问题

页面跳转后用钉钉带的返回按钮返回后验证失败

lowkeyhan 2019-12-01 21:09:47 3973 浏览量 回答数 3

回答

我也遇到此问题,只有验证过的才有权限看到,后台没有报错,但是我的页面是有的总是报404,我直接在浏览器输入被限制的URL都可以进入了,就是跳转不成功,请问你是怎么解决的######我在http://www.2cto.com/kf/201208/147950.html找到了答案,不知你是怎么解决的######我的解决方法是:验证成功后, return "redirect:/maps/main";(重定向你想跳转的页面),而 return "maps/main";仍然不能被找到###### 我的问题都已经解决了 ###### 给大家一个Shrio项目的完整Demo:http://www.sojson.com/shiro 一个基于Spring4.25 + Mybatis + Redis 的Demo 本教程包含的内容。 SSM(SpringMVC + Spring +Mybatis)框架的增删改查(含分页),所以如果框架小白也是可以看看的。 View层主要是Freemarker,但是为了考虑到好多人还使用的是JSP,也有一个页面是用JSP实现的,并且框架支持Freemarker 和JSP双View展示(优先找Freemarker)。 Shiro + Redis 的集成,也提供Ehcache的依赖Jar。 Shiro初始权限动态加载。 Shiro自定义权限校验Filter定义,及功能实现。 ShiroAjax请求权限不满足,拦截后解决方案。 ShiroFreemarker标签使用。 ShiroJSP标签使用。 Shiro登录后跳转到最后一个访问的页面。 用户禁止登录Demo。 在线显示,在线用户管理(踢出登录)。 登录注册密码加密传输Demo(详细请见下面讲解)。 密码修改。 用户个人中心。 权限的增删改查。 角色的增删改查。 权限->角色->用户之间的关系维护。 管理员权限的自动添加(当有一个权限创建,自动添加到管理员角色下,保证管理员是最大权限)。 Spring定时任务数据化数据。 集成多种验证码(包括动态的gif验证码哦)。 后续会陆陆续续升级... ... 11

kun坤 2020-06-20 13:21:20 0 浏览量 回答数 0

回答

我也遇到此问题,只有验证过的才有权限看到,后台没有报错,但是我的页面是有的总是报404,我直接在浏览器输入被限制的URL都可以进入了,就是跳转不成功,请问你是怎么解决的######我在http://www.2cto.com/kf/201208/147950.html找到了答案,不知你是怎么解决的######我的解决方法是:验证成功后, return "redirect:/maps/main";(重定向你想跳转的页面),而 return "maps/main";仍然不能被找到###### 我的问题都已经解决了 ###### 给大家一个Shrio项目的完整Demo:http://www.sojson.com/shiro 一个基于Spring4.25 + Mybatis + Redis 的Demo 本教程包含的内容。 SSM(SpringMVC + Spring +Mybatis)框架的增删改查(含分页),所以如果框架小白也是可以看看的。 View层主要是Freemarker,但是为了考虑到好多人还使用的是JSP,也有一个页面是用JSP实现的,并且框架支持Freemarker 和JSP双View展示(优先找Freemarker)。 Shiro + Redis 的集成,也提供Ehcache的依赖Jar。 Shiro初始权限动态加载。 Shiro自定义权限校验Filter定义,及功能实现。 ShiroAjax请求权限不满足,拦截后解决方案。 ShiroFreemarker标签使用。 ShiroJSP标签使用。 Shiro登录后跳转到最后一个访问的页面。 用户禁止登录Demo。 在线显示,在线用户管理(踢出登录)。 登录注册密码加密传输Demo(详细请见下面讲解)。 密码修改。 用户个人中心。 权限的增删改查。 角色的增删改查。 权限->角色->用户之间的关系维护。 管理员权限的自动添加(当有一个权限创建,自动添加到管理员角色下,保证管理员是最大权限)。 Spring定时任务数据化数据。 集成多种验证码(包括动态的gif验证码哦)。 后续会陆陆续续升级... ... 11

kun坤 2020-05-30 23:25:26 0 浏览量 回答数 0

回答

这种问题是由于公钥不一样了,所以无法登录,提示信息是 KEY 验证失败。 解决方法是: 在/root/.ssh/known_hosts 文件里面将原来的公钥信息删除即可。 具体原因分析:SSH 报“Host key verification failed.”。一般来说,出现该错误有这么几种可能: 1. .ssh/known_hosts 裡面记录的目标主机 key 值不正确。这是最普遍的情况,只要删除对应的主机记录就能恢复正常。 2. .ssh 目录或者 .ssh/known_hosts 对当前用户的权限设置不正确。这种情况比较少,一般正确设置读写权限以后也能恢复正常。 3. /dev/tty 对 other 用户没有放开读写权限。这种情况极为罕见。出现的现象是,只有 root 用户能够使用 ssh client,而所有其他的普通用户都会出现错误。 我今天遇到的就是第三种情况,修改 /dev/tty 的权限后,一切正常。为了避免以后忘记解决方法,记录在这里。 问题2: ssh_exchange_identification: Connection closed by remote host -------------------------------------------------------------------------------解决办法:修改/etc/hosts.allow文件,加入 sshd:ALL。 符相关配制说明: vi /etc/ssh/ssh_config ------------------------------------------------- 下面逐行说明上面的选项设置: Host * :选项“Host”只对能够匹配后面字串的计算机有效。“*”表示所有的计算机。 ForwardAgent no :“ForwardAgent”设置连接是否经过验证代理(如果存在)转发给远程计算机。 ForwardX11 no :“ForwardX11”设置X11连接是否被自动重定向到安全的通道和显示集(DISPLAY set)。 RhostsAuthentication no :“RhostsAuthentication”设置是否使用基于rhosts的安全验证。 RhostsRSAAuthentication no :“RhostsRSAAuthentication”设置是否使用用RSA算法的基于rhosts的安全验证。 RSAAuthentication yes :RSAAuthentication”设置是否使用RSA算法进行安全验证。 PasswordAuthentication yes :“PasswordAuthentication”设置是否使用口令验证。 FallBackToRsh no:“FallBackToRsh”设置如果用ssh连接出现错误是否自动使用rsh。 UseRsh no :“UseRsh”设置是否在这台计算机上使用“rlogin/rsh”。 BatchMode no :“BatchMode”如果设为“yes”,passphrase/password(交互式输入口令)的提示将被禁止。当不能交互式输入口令的时候,这个选项对脚本文件和批处理任务十分有用。 CheckHostIP yes :“CheckHostIP”设置ssh是否查看连接到服务器的主机的IP地址以防止DNS欺骗。建议设置为“yes”。 StrictHostKeyChecking no :“StrictHostKeyChecking”如果设置成“yes”,ssh就不会自动把计算机的密匙加入“$HOME/.ssh/known_hosts”文件,并且一旦计算机的密匙发生了变化,就拒绝连接。 IdentityFile ~/.ssh/identity :“IdentityFile”设置从哪个文件读取用户的RSA安全验证标识。 Port 22 :“Port”设置连接到远程主机的端口。

聚小编 2019-12-02 01:26:19 0 浏览量 回答数 0

回答

Apache Shiro 好像支持 CAS 的。 ######听起来有点高深,能不能问下lz做这个是为了什么功能?###### 引用来自“hantsy”的答案 Apache Shiro 好像支持 CAS 的。 CAS我知道哈,我是要共享会话信息呀 CAS是统一登录用的 ######别在这里问了,上stackoverflow这些外国论坛,或者直接看官方的文档比较靠谱#######springrain#已经实现。###### 给大家一个Shrio项目的完整Demo:http://www.sojson.com/shiro 一个基于Spring4.25 + Mybatis + Redis 的Demo 本教程包含的内容。 SSM(SpringMVC + Spring +Mybatis)框架的增删改查(含分页),所以如果框架小白也是可以看看的。 View层主要是Freemarker,但是为了考虑到好多人还使用的是JSP,也有一个页面是用JSP实现的,并且框架支持Freemarker 和JSP双View展示(优先找Freemarker)。 Shiro + Redis 的集成,也提供Ehcache的依赖Jar。 Shiro初始权限动态加载。 Shiro自定义权限校验Filter定义,及功能实现。 ShiroAjax请求权限不满足,拦截后解决方案。 ShiroFreemarker标签使用。 ShiroJSP标签使用。 Shiro登录后跳转到最后一个访问的页面。 用户禁止登录Demo。 在线显示,在线用户管理(踢出登录)。 登录注册密码加密传输Demo(详细请见下面讲解)。 密码修改。 用户个人中心。 权限的增删改查。 角色的增删改查。 权限->角色->用户之间的关系维护。 管理员权限的自动添加(当有一个权限创建,自动添加到管理员角色下,保证管理员是最大权限)。 Spring定时任务数据化数据。 集成多种验证码(包括动态的gif验证码哦)。 后续会陆陆续续升级...

爱吃鱼的程序员 2020-06-01 13:37:13 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档用户如果没有whois邮箱的管理权限,可以通过添加TXT记录找回域名,如下图所示: 用户选择通过添加TXT记录找回域名; 系统自动生成TXT记录的主机记录和记录值; 用户到当前解析商处添加该域名的TXT记录; 云解析系统自动扫描添加的TXT记录,如果找到,发送邮件通知用户; 用户点击确认立即验证,如果已经找到TXT记录,则找回成功,如果未找到,提示相关信息;

2019-12-01 23:11:30 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 发送访问OSS的请求 您可以直接使用OSS提供的RESTful API接口访问或者使用对API接口进行完整封装的SDK开发包。而每一次向OSS的请求根据当前Bucket权限和操作不同要求用户进行身份验证或者直接匿名访问。对OSS的资源访问的分类如下: 按访问者的角色可分为拥有者访问和第三方用户访问。这里的拥有者指的是Bucket的Owner,也称为开发者。第三方用户是指访问Bucket里资源的用户。 按访问者的身份信息可分为匿名访问和带签名访问。对于OSS来说,如果请求中没有携带任何和身份相关的信息即为匿名访问。带签名访问指的是按照OSS API文档中规定的在请求头部或者在请求URL中携带签名的相关信息。 AccessKey 类型 目前访问 OSS 使用的 AK(AccessKey)有三种类型,具体如下: 阿里云账号AccessKey 阿里云账号AK特指Bucket拥有者的AK,每个阿里云账号提供的AccessKey对拥有的资源有完全的权限。每个阿里云账号能够同时拥有不超过5个active或者inactive的AK对(AccessKeyId和AccessKeySecret)。 用户可以登录AccessKey管理控制台,申请新增或删除AK对。 每个AK对都有active/inactive两种状态。 Active 表明用户的 AK 处于激活状态,可以在身份验证的时候使用。 Inactive 表明用户的 AK 处于非激活状态,不能在身份验证的时候使用。 说明 请避免直接使用阿里云账户的 AccessKey。 RAM子账号AccessKey RAM (Resource Access Management) 是阿里云提供的资源访问控制服务。RAM账号AK指的是通过RAM被授权的AK。这组AK只能按照RAM定义的规则去访问Bucket里的资源。通过RAM,您可以集中管理您的用户(比如员工、系统或应用程序),以及控制用户可以访问您名下哪些资源的权限。比如能够限制您的用户只拥有对某一个Bucket的读权限。子账号是从属于主账号的,并且这些账号下不能拥有实际的任何资源,所有资源都属于主账号。 STS账号AccessKey STS(Security Token Service)是阿里云提供的临时访问凭证服务。STS账号AK指的是通过STS颁发的AK。这组AK只能按照STS定义的规则去访问Bucket里的资源。 身份验证具体实现 目前主要有三种身份验证方式: AK验证 RAM验证 STS验证 当用户以个人身份向OSS发送请求时,其身份验证的实现如下: 用户将发送的请求按照OSS指定的格式生成签名字符串。 用户使用AccessKeySecret对签名字符串进行加密产生验证码。 OSS收到请求以后,通过AccessKeyId找到对应的AccessKeySecret,以同样的方法提取签名字符串和验证码。 如果计算出来的验证码和提供的一样即认为该请求是有效的。 否则,OSS将拒绝处理这次请求,并返回HTTP 403错误。 对于用户来说可以直接使用OSS提供的SDK,配合不同类型的AccessKey即可实现不同的身份验证。 权限控制 针对存放在Bucket的Object的访问,OSS提供了多种权限控制,主要有: Bucket级别权限 Object级别权限 账号级别权限(RAM) 临时账号权限(STS) Bucket级别权限 Bucket权限类型 OSS提供ACL(Access Control List)权限控制方法,OSS ACL提供Bucket级别的权限访问控制,Bucket目前有三种访问权限:public-read-write,public-read和private,它们的含义如下: 权限值 中文名称 权限对访问者的限制 public-read-write 公共读写 任何人(包括匿名访问)都可以对该Bucket中的Object进行读/写/删除操作;所有这些操作产生的费用由该Bucket的Owner承担,请慎用该权限。 public-read 公共读,私有写 只有该Bucket的Owner或者授权对象可以对存放在其中的Object进行写/删除操作;任何人(包括匿名访问)可以对Object进行读操作。 private 私有读写 只有该Bucket的Owner或者授权对象可以对存放在其中的Object进行读/写/删除操作;其他人在未经授权的情况下无法访问该Bucket内的Object。 Bucket权限设定和读取方法 功能使用参考: API:Put BucketACL SDK:Java SDK-设置Bucket ACL 控制台:创建Bucket权限设置 API:Get BucketACL SDK:Java SDK-获取Bucket ACL Object级别权限 Object权限类型 OSS ACL也提供Object级别的权限访问控制。目前Object有四种访问权限:private, public-read, public-read-write, default。Put Object ACL操作通过Put请求中的“x-oss-object-acl”头来设置,这个操作只有Bucket Owner有权限执行。 权限值 中文名称 权限对访问者的限制 public-read-write 公共读写 该ACL表明某个Object是公共读写资源,即所有用户拥有对该Object的读写权限。 public-read 公共读,私有写 该ACL表明某个Object是公共读资源,即非Object Owner只有该Object的读权限,而Object Owner拥有该Object的读写权限。 private 私有读写 该ACL表明某个Object是私有资源,即只有该Object的Owner拥有该Object的读写权限,其他的用户没有权限操作该Object。 default 默认权限 该ACL表明某个Object是遵循Bucket读写权限的资源,即Bucket是什么权限,Object就是什么权限。 说明 如果没有设置Object的权限,即Object的ACL为default,Object的权限和Bucket权限一致。 如果设置了Object的权限,Object的权限大于Bucket权限。举个例子,如果设置了Object的权限是public-read,无论Bucket是什么权限,该Object都可以被身份验证访问和匿名访问。 Object权限设定和读取方法 功能使用参考: API:Put Object ACL SDK:Java SDK-ObjectACL 中设定Object ACL API:Get Object ACL SDK:Java SDK-ObjectACL 中读取Object ACL 账号级别权限(RAM) 使用场景 如果您购买了云资源,您的组织里有多个用户需要使用这些云资源,这些用户只能共享使用您的云账号AccessKey。这里有两个问题: 您的密钥由多人共享,泄露的风险很高。 您无法控制特定用户能访问哪些资源(比如Bucket)的权限。 解决方法:在您的阿里云账号下面,通过RAM可以创建具有自己AccessKey的子用户。您的阿里云账号被称为主账号,创建出来的账号被称为子账号,使用子账号的AccessKey只能使用主账号授权的操作和资源。 具体实现 有关RAM详情,请参考RAM用户手册。 对于授权中需要的Policy的配置方式可以参考本章最后一节:RAM和STS授权策略(Policy)配置。 临时账号权限(STS) 使用场景 对于您本地身份系统所管理的用户,比如您的App的用户、您的企业本地账号、第三方App,也有直接访问OSS资源的可能,将这部分用户称为联盟用户。此外,用户还可以是您创建的能访问您的阿里云资源的应用程序。 对于这部分联盟用户,通过阿里云STS (Security Token Service) 服务为阿里云账号(或RAM用户)提供短期访问权限管理。您不需要透露云账号(或RAM用户)的长期密钥(如登录密码、AccessKey),只需要生成一个短期访问凭证给联盟用户使用即可。这个凭证的访问权限及有效期限都可以由您自定义。您不需要关心权限撤销问题,访问凭证过期后会自动失效。 用户通过STS生成的凭证包括安全令牌(SecurityToken)、临时访问密钥(AccessKeyId, AccessKeySecret)。使用AccessKey方法与您在使用阿里云账户或RAM用户AccessKey发送请求时的方法相同。此外还需要注意的是在每个向OSS发送的请求中必须携带安全令牌。 具体实现 STS安全令牌、角色管理和使用相关内容详情,请参考RAM用户指南中的角色管理。关键是调用STS服务接口AssumeRole来获取有效访问凭证即可,也可以直接使用STS SDK来调用该方法。 RAM和STS应用场景实践 对于不同的应用场景,涉及到的访问身份验证方式可能存在差异。下面以几种典型的应用场景来说明访问身份验证中几种使用方式。 以一个移动App举例。假设您是一个移动App开发者,打算使用阿里云OSS服务来保存App的终端用户数据,并且要保证每个App用户之间的数据隔离,防止一个App用户获取到其它App用户的数据。 方式一:使用AppServer来做数据中转和数据隔离如上图所示,您需要开发一个AppServer。只有AppServer能访问云服务,ClientApp的每次读写数据都需要通过AppServer,AppServer来保证不同用户数据的隔离访问。 对于该种使用方式,使用阿里云账号或者RAM账号提供的密钥来进行签名验证访问。建议您尽量不要直接使用阿里云账号(主账号)的密钥访问OSS,避免出现安全问题。 方式二:使用STS让用户直接访问OSS STS方案描述如下图所示:方案的详细描述如下: App用户登录。App用户和云账号无关,它是App的终端用户,AppServer支持App用户登录。对于每个有效的App用户来说,需要AppServer能定义出每个App用户的最小访问权限。 AppServer请求STS服务获取一个安全令牌(SecurityToken)。在调用STS之前,AppServer需要确定App用户的最小访问权限(用Policy语法描述)以及授权的过期时间。然后通过扮演角色(AssumeRole)来获取一个代表角色身份的安全令牌。 STS返回给AppServer一个有效的访问凭证,包括一个安全令牌(SecurityToken)、临时访问密钥(AccessKeyId, AccessKeySecret)以及过期时间。 AppServer将访问凭证返回给ClientApp。ClientApp可以缓存这个凭证。当凭证失效时,ClientApp需要向AppServer申请新的有效访问凭证。比如,访问凭证有效期为1小时,那么ClientApp可以每30分钟向AppServer请求更新访问凭证。 ClientApp使用本地缓存的访问凭证去请求Aliyun Service API。云服务会感知STS访问凭证,并会依赖STS服务来验证访问凭证,正确响应用户请求。 RAM和STS授权策略(Policy)配置 对于RAM或者STS授权中使用Policy,详细规则如下。 示例 先看下面的一个Policy示例: { "Version": "1", "Statement": [ { "Action": [ "oss:GetBucketAcl", "oss:ListObjects" ], "Resource": [ "acs:oss:*:1775305056529849:mybucket" ], "Effect": "Allow", "Condition": { "StringEquals": { "acs:UserAgent": "java-sdk", "oss:Prefix": "foo" }, "IpAddress": { "acs:SourceIp": "192.168.0.1" } } }, { "Action": [ "oss:PutObject", "oss:GetObject", "oss:DeleteObject" ], "Resource": [ "acs:oss:*:1775305056529849:mybucket/file*" ], "Effect": "Allow", "Condition": { "IpAddress": { "acs:SourceIp": "192.168.0.1" } } } ] } 这是一个授权的Policy,用户用这样的一个Policy通过RAM或STS服务向其他用户授权。Policy当中有一个Statement(一条Policy当中可以有多条Statement)。Statement里面规定了相应的Action、Resource、Effect和Condition。 这条Policy把用户自己名下的mybucket和mybucket/file*这些资源授权给相应的用户,并且支持GetBucketAcl、GetBucket、PutObject、GetObject和DeleteObject这几种操作。Condition中的条件表示UserAgent为java-sdk,源IP为192.168.0.1的时候鉴权才能通过,被授权的用户才能访问相关的资源。Prefix这个Condition是在GetBucket(ListObjects)的时候起作用的,关于这个字段的解释详见OSS的API文档。 配置细则 Version Version定义了Policy的版本,本文档中sw2q的配置方式,设置为1。 Statement 通过Statement描述授权语义,其中可以根据业务场景包含多条语义,每条包含对Action、Effect、Resource和Condition的描述。每次请求系统会逐条依次匹配检查,所有匹配成功的Statement会根据Effect的设置不同分为通过(Allow)、禁止(Deny),其中禁止(Deny)的优先。如果匹配成功的都为通过,该条请求即鉴权通过。如果匹配成功有一条禁止,或者没有任何条目匹配成功,该条请求被禁止访问。 Action Action分为三大类:Service级别操作,对应的是GetService操作,用来列出所有属于该用户的Bucket列表。 Bucket级别操作,对应类似于oss:PutBucketAcl、oss:GetBucketLocation之类的操作,操作的对象是Bucket,它们的名称和相应的接口名称一一对应。 Object级别操作,分为oss:GetObject、oss:PutObject、oss:DeleteObject和oss:AbortMultipartUpload,操作对象是Object。 如想授权某一类的Object的操作,可以选择这几种的一种或几种。另外,所有的Action前面都必须加上oss:,如上面例子所示。Action是一个列表,可以有多个Action。具体的Action和API接口的对应关系如下: Service级别 API Action GetService(ListBuckets) oss:ListBuckets Bucket级别 API Action PutBucket oss:PutBucket GetBucket(ListObjects) oss:ListObjects PutBucketAcl oss:PutBucketAcl DeleteBucket oss:DeleteBucket GetBucketLocation oss:GetBucketLocation GetBucketAcl oss:GetBucketAcl GetBucketLogging oss:GetBucketLogging PutBucketLogging oss:PutBucketLogging DeleteBucketLogging oss:DeleteBucketLogging GetBucketWebsite oss:GetBucketWebsite PutBucketWebsite oss:PutBucketWebsite DeleteBucketWebsite oss:DeleteBucketWebsite GetBucketReferer oss:GetBucketReferer PutBucketReferer oss:PutBucketReferer GetBucketLifecycle oss:GetBucketLifecycle PutBucketLifecycle oss:PutBucketLifecycle DeleteBucketLifecycle oss:DeleteBucketLifecycle ListMultipartUploads oss:ListMultipartUploads PutBucketCors oss:PutBucketCors GetBucketCors oss:GetBucketCors DeleteBucketCors oss:DeleteBucketCors PutBucketReplication oss:PutBucketReplication GetBucketReplication oss:GetBucketReplication DeleteBucketReplication oss:DeleteBucketReplication GetBucketReplicationLocation oss:GetBucketReplicationLocation GetBucketReplicationProgress oss:GetBucketReplicationProgress Object级别 API Action GetObject oss:GetObject HeadObject oss:GetObject PutObject oss:PutObject PostObject oss:PutObject InitiateMultipartUpload oss:PutObject UploadPart oss:PutObject CompleteMultipart oss:PutObject DeleteObject oss:DeleteObject DeleteMultipartObjects oss:DeleteObject AbortMultipartUpload oss:AbortMultipartUpload ListParts oss:ListParts CopyObject oss:GetObject,oss:PutObject UploadPartCopy oss:GetObject,oss:PutObject AppendObject oss:PutObject GetObjectAcl oss:GetObjectAcl PutObjectAcl oss:PutObjectAcl Resource Resource指代的是OSS上面的某个具体的资源或者某些资源(支持*通配),resource的规则是acs:oss:{region}:{bucket_owner}:{bucket_name}/{object_name}。对于所有Bucket级别的操作来说不需要最后的斜杠和{object_name},即acs:oss:{region}:{bucket_owner}:{bucket_name}。Resource也是一个列表,可以有多个Resource。其中的region字段暂时不做支持,设置为*。 Effect Effect代表本条的Statement的授权的结果,分为Allow和Deny,分别指代通过和禁止。多条Statement同时匹配成功时,禁止(Deny)的优先级更高。 例如,期望禁止用户对某一目录进行删除,但对于其他文件有全部权限: { "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "oss:*" ], "Resource": [ "acs:oss:*:*:bucketname" ] }, { "Effect": "Deny", "Action": [ "oss:DeleteObject" ], "Resource": [ "acs:oss:*:*:bucketname/index/*", ] } ] } Condition Condition代表Policy授权的一些条件,上面的示例里面可以设置对于acs:UserAgent的检查、acs:SourceIp的检查、还有oss:Prefix这项用来在GetBucket的时候对资源进行限制。 OSS支持的Condition如下: condition 功能 合法取值 acs:SourceIp 指定ip网段 普通的ip,支持*通配 acs:UserAgent 指定http useragent头 字符串 acs:CurrentTime 指定合法的访问时间 ISO8601格式 acs:SecureTransport 是否是https协议 “true”或者”false” oss:Prefix 用作ListObjects时的prefix 合法的object name 更多示例 针对具体场景更多的授权策略配置示例,可以参考教程示例:控制存储空间和文件夹的访问权限和OSS授权常见问题。 Policy在线图形化便捷配置工具,请单击这里。 最佳实践 RAM和STS使用指南

2019-12-01 23:12:47 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 发送访问OSS的请求 您可以直接使用OSS提供的RESTful API接口访问或者使用对API接口进行完整封装的SDK开发包。而每一次向OSS的请求根据当前Bucket权限和操作不同要求用户进行身份验证或者直接匿名访问。对OSS的资源访问的分类如下: 按访问者的角色可分为拥有者访问和第三方用户访问。这里的拥有者指的是Bucket的Owner,也称为开发者。第三方用户是指访问Bucket里资源的用户。 按访问者的身份信息可分为匿名访问和带签名访问。对于OSS来说,如果请求中没有携带任何和身份相关的信息即为匿名访问。带签名访问指的是按照OSS API文档中规定的在请求头部或者在请求URL中携带签名的相关信息。 AccessKey 类型 目前访问 OSS 使用的 AK(AccessKey)有三种类型,具体如下: 阿里云账号AccessKey 阿里云账号AK特指Bucket拥有者的AK,每个阿里云账号提供的AccessKey对拥有的资源有完全的权限。每个阿里云账号能够同时拥有不超过5个active或者inactive的AK对(AccessKeyId和AccessKeySecret)。 用户可以登录AccessKey管理控制台,申请新增或删除AK对。 每个AK对都有active/inactive两种状态。 Active 表明用户的 AK 处于激活状态,可以在身份验证的时候使用。 Inactive 表明用户的 AK 处于非激活状态,不能在身份验证的时候使用。 说明 请避免直接使用阿里云账户的 AccessKey。 RAM子账号AccessKey RAM (Resource Access Management) 是阿里云提供的资源访问控制服务。RAM账号AK指的是通过RAM被授权的AK。这组AK只能按照RAM定义的规则去访问Bucket里的资源。通过RAM,您可以集中管理您的用户(比如员工、系统或应用程序),以及控制用户可以访问您名下哪些资源的权限。比如能够限制您的用户只拥有对某一个Bucket的读权限。子账号是从属于主账号的,并且这些账号下不能拥有实际的任何资源,所有资源都属于主账号。 STS账号AccessKey STS(Security Token Service)是阿里云提供的临时访问凭证服务。STS账号AK指的是通过STS颁发的AK。这组AK只能按照STS定义的规则去访问Bucket里的资源。 身份验证具体实现 目前主要有三种身份验证方式: AK验证 RAM验证 STS验证 当用户以个人身份向OSS发送请求时,其身份验证的实现如下: 用户将发送的请求按照OSS指定的格式生成签名字符串。 用户使用AccessKeySecret对签名字符串进行加密产生验证码。 OSS收到请求以后,通过AccessKeyId找到对应的AccessKeySecret,以同样的方法提取签名字符串和验证码。 如果计算出来的验证码和提供的一样即认为该请求是有效的。 否则,OSS将拒绝处理这次请求,并返回HTTP 403错误。 对于用户来说可以直接使用OSS提供的SDK,配合不同类型的AccessKey即可实现不同的身份验证。 权限控制 针对存放在Bucket的Object的访问,OSS提供了多种权限控制,主要有: Bucket级别权限 Object级别权限 账号级别权限(RAM) 临时账号权限(STS) Bucket级别权限 Bucket权限类型 OSS提供ACL(Access Control List)权限控制方法,OSS ACL提供Bucket级别的权限访问控制,Bucket目前有三种访问权限:public-read-write,public-read和private,它们的含义如下: 权限值 中文名称 权限对访问者的限制 public-read-write 公共读写 任何人(包括匿名访问)都可以对该Bucket中的Object进行读/写/删除操作;所有这些操作产生的费用由该Bucket的Owner承担,请慎用该权限。 public-read 公共读,私有写 只有该Bucket的Owner或者授权对象可以对存放在其中的Object进行写/删除操作;任何人(包括匿名访问)可以对Object进行读操作。 private 私有读写 只有该Bucket的Owner或者授权对象可以对存放在其中的Object进行读/写/删除操作;其他人在未经授权的情况下无法访问该Bucket内的Object。 Bucket权限设定和读取方法 功能使用参考: API:Put BucketACL SDK:Java SDK-设置Bucket ACL 控制台:创建Bucket权限设置 API:Get BucketACL SDK:Java SDK-获取Bucket ACL Object级别权限 Object权限类型 OSS ACL也提供Object级别的权限访问控制。目前Object有四种访问权限:private, public-read, public-read-write, default。Put Object ACL操作通过Put请求中的“x-oss-object-acl”头来设置,这个操作只有Bucket Owner有权限执行。 权限值 中文名称 权限对访问者的限制 public-read-write 公共读写 该ACL表明某个Object是公共读写资源,即所有用户拥有对该Object的读写权限。 public-read 公共读,私有写 该ACL表明某个Object是公共读资源,即非Object Owner只有该Object的读权限,而Object Owner拥有该Object的读写权限。 private 私有读写 该ACL表明某个Object是私有资源,即只有该Object的Owner拥有该Object的读写权限,其他的用户没有权限操作该Object。 default 默认权限 该ACL表明某个Object是遵循Bucket读写权限的资源,即Bucket是什么权限,Object就是什么权限。 说明 如果没有设置Object的权限,即Object的ACL为default,Object的权限和Bucket权限一致。 如果设置了Object的权限,Object的权限大于Bucket权限。举个例子,如果设置了Object的权限是public-read,无论Bucket是什么权限,该Object都可以被身份验证访问和匿名访问。 Object权限设定和读取方法 功能使用参考: API:Put Object ACL SDK:Java SDK-ObjectACL 中设定Object ACL API:Get Object ACL SDK:Java SDK-ObjectACL 中读取Object ACL 账号级别权限(RAM) 使用场景 如果您购买了云资源,您的组织里有多个用户需要使用这些云资源,这些用户只能共享使用您的云账号AccessKey。这里有两个问题: 您的密钥由多人共享,泄露的风险很高。 您无法控制特定用户能访问哪些资源(比如Bucket)的权限。 解决方法:在您的阿里云账号下面,通过RAM可以创建具有自己AccessKey的子用户。您的阿里云账号被称为主账号,创建出来的账号被称为子账号,使用子账号的AccessKey只能使用主账号授权的操作和资源。 具体实现 有关RAM详情,请参考RAM用户手册。 对于授权中需要的Policy的配置方式可以参考本章最后一节:RAM和STS授权策略(Policy)配置。 临时账号权限(STS) 使用场景 对于您本地身份系统所管理的用户,比如您的App的用户、您的企业本地账号、第三方App,也有直接访问OSS资源的可能,将这部分用户称为联盟用户。此外,用户还可以是您创建的能访问您的阿里云资源的应用程序。 对于这部分联盟用户,通过阿里云STS (Security Token Service) 服务为阿里云账号(或RAM用户)提供短期访问权限管理。您不需要透露云账号(或RAM用户)的长期密钥(如登录密码、AccessKey),只需要生成一个短期访问凭证给联盟用户使用即可。这个凭证的访问权限及有效期限都可以由您自定义。您不需要关心权限撤销问题,访问凭证过期后会自动失效。 用户通过STS生成的凭证包括安全令牌(SecurityToken)、临时访问密钥(AccessKeyId, AccessKeySecret)。使用AccessKey方法与您在使用阿里云账户或RAM用户AccessKey发送请求时的方法相同。此外还需要注意的是在每个向OSS发送的请求中必须携带安全令牌。 具体实现 STS安全令牌、角色管理和使用相关内容详情,请参考RAM用户指南中的角色管理。关键是调用STS服务接口AssumeRole来获取有效访问凭证即可,也可以直接使用STS SDK来调用该方法。 RAM和STS应用场景实践 对于不同的应用场景,涉及到的访问身份验证方式可能存在差异。下面以几种典型的应用场景来说明访问身份验证中几种使用方式。 以一个移动App举例。假设您是一个移动App开发者,打算使用阿里云OSS服务来保存App的终端用户数据,并且要保证每个App用户之间的数据隔离,防止一个App用户获取到其它App用户的数据。 方式一:使用AppServer来做数据中转和数据隔离如上图所示,您需要开发一个AppServer。只有AppServer能访问云服务,ClientApp的每次读写数据都需要通过AppServer,AppServer来保证不同用户数据的隔离访问。 对于该种使用方式,使用阿里云账号或者RAM账号提供的密钥来进行签名验证访问。建议您尽量不要直接使用阿里云账号(主账号)的密钥访问OSS,避免出现安全问题。 方式二:使用STS让用户直接访问OSS STS方案描述如下图所示:方案的详细描述如下: App用户登录。App用户和云账号无关,它是App的终端用户,AppServer支持App用户登录。对于每个有效的App用户来说,需要AppServer能定义出每个App用户的最小访问权限。 AppServer请求STS服务获取一个安全令牌(SecurityToken)。在调用STS之前,AppServer需要确定App用户的最小访问权限(用Policy语法描述)以及授权的过期时间。然后通过扮演角色(AssumeRole)来获取一个代表角色身份的安全令牌。 STS返回给AppServer一个有效的访问凭证,包括一个安全令牌(SecurityToken)、临时访问密钥(AccessKeyId, AccessKeySecret)以及过期时间。 AppServer将访问凭证返回给ClientApp。ClientApp可以缓存这个凭证。当凭证失效时,ClientApp需要向AppServer申请新的有效访问凭证。比如,访问凭证有效期为1小时,那么ClientApp可以每30分钟向AppServer请求更新访问凭证。 ClientApp使用本地缓存的访问凭证去请求Aliyun Service API。云服务会感知STS访问凭证,并会依赖STS服务来验证访问凭证,正确响应用户请求。 RAM和STS授权策略(Policy)配置 对于RAM或者STS授权中使用Policy,详细规则如下。 示例 先看下面的一个Policy示例: { "Version": "1", "Statement": [ { "Action": [ "oss:GetBucketAcl", "oss:ListObjects" ], "Resource": [ "acs:oss:*:1775305056529849:mybucket" ], "Effect": "Allow", "Condition": { "StringEquals": { "acs:UserAgent": "java-sdk", "oss:Prefix": "foo" }, "IpAddress": { "acs:SourceIp": "192.168.0.1" } } }, { "Action": [ "oss:PutObject", "oss:GetObject", "oss:DeleteObject" ], "Resource": [ "acs:oss:*:1775305056529849:mybucket/file*" ], "Effect": "Allow", "Condition": { "IpAddress": { "acs:SourceIp": "192.168.0.1" } } } ] } 这是一个授权的Policy,用户用这样的一个Policy通过RAM或STS服务向其他用户授权。Policy当中有一个Statement(一条Policy当中可以有多条Statement)。Statement里面规定了相应的Action、Resource、Effect和Condition。 这条Policy把用户自己名下的mybucket和mybucket/file*这些资源授权给相应的用户,并且支持GetBucketAcl、GetBucket、PutObject、GetObject和DeleteObject这几种操作。Condition中的条件表示UserAgent为java-sdk,源IP为192.168.0.1的时候鉴权才能通过,被授权的用户才能访问相关的资源。Prefix这个Condition是在GetBucket(ListObjects)的时候起作用的,关于这个字段的解释详见OSS的API文档。 配置细则 Version Version定义了Policy的版本,本文档中sw2q的配置方式,设置为1。 Statement 通过Statement描述授权语义,其中可以根据业务场景包含多条语义,每条包含对Action、Effect、Resource和Condition的描述。每次请求系统会逐条依次匹配检查,所有匹配成功的Statement会根据Effect的设置不同分为通过(Allow)、禁止(Deny),其中禁止(Deny)的优先。如果匹配成功的都为通过,该条请求即鉴权通过。如果匹配成功有一条禁止,或者没有任何条目匹配成功,该条请求被禁止访问。 Action Action分为三大类:Service级别操作,对应的是GetService操作,用来列出所有属于该用户的Bucket列表。 Bucket级别操作,对应类似于oss:PutBucketAcl、oss:GetBucketLocation之类的操作,操作的对象是Bucket,它们的名称和相应的接口名称一一对应。 Object级别操作,分为oss:GetObject、oss:PutObject、oss:DeleteObject和oss:AbortMultipartUpload,操作对象是Object。 如想授权某一类的Object的操作,可以选择这几种的一种或几种。另外,所有的Action前面都必须加上oss:,如上面例子所示。Action是一个列表,可以有多个Action。具体的Action和API接口的对应关系如下: Service级别 API Action GetService(ListBuckets) oss:ListBuckets Bucket级别 API Action PutBucket oss:PutBucket GetBucket(ListObjects) oss:ListObjects PutBucketAcl oss:PutBucketAcl DeleteBucket oss:DeleteBucket GetBucketLocation oss:GetBucketLocation GetBucketAcl oss:GetBucketAcl GetBucketLogging oss:GetBucketLogging PutBucketLogging oss:PutBucketLogging DeleteBucketLogging oss:DeleteBucketLogging GetBucketWebsite oss:GetBucketWebsite PutBucketWebsite oss:PutBucketWebsite DeleteBucketWebsite oss:DeleteBucketWebsite GetBucketReferer oss:GetBucketReferer PutBucketReferer oss:PutBucketReferer GetBucketLifecycle oss:GetBucketLifecycle PutBucketLifecycle oss:PutBucketLifecycle DeleteBucketLifecycle oss:DeleteBucketLifecycle ListMultipartUploads oss:ListMultipartUploads PutBucketCors oss:PutBucketCors GetBucketCors oss:GetBucketCors DeleteBucketCors oss:DeleteBucketCors PutBucketReplication oss:PutBucketReplication GetBucketReplication oss:GetBucketReplication DeleteBucketReplication oss:DeleteBucketReplication GetBucketReplicationLocation oss:GetBucketReplicationLocation GetBucketReplicationProgress oss:GetBucketReplicationProgress Object级别 API Action GetObject oss:GetObject HeadObject oss:GetObject PutObject oss:PutObject PostObject oss:PutObject InitiateMultipartUpload oss:PutObject UploadPart oss:PutObject CompleteMultipart oss:PutObject DeleteObject oss:DeleteObject DeleteMultipartObjects oss:DeleteObject AbortMultipartUpload oss:AbortMultipartUpload ListParts oss:ListParts CopyObject oss:GetObject,oss:PutObject UploadPartCopy oss:GetObject,oss:PutObject AppendObject oss:PutObject GetObjectAcl oss:GetObjectAcl PutObjectAcl oss:PutObjectAcl Resource Resource指代的是OSS上面的某个具体的资源或者某些资源(支持*通配),resource的规则是acs:oss:{region}:{bucket_owner}:{bucket_name}/{object_name}。对于所有Bucket级别的操作来说不需要最后的斜杠和{object_name},即acs:oss:{region}:{bucket_owner}:{bucket_name}。Resource也是一个列表,可以有多个Resource。其中的region字段暂时不做支持,设置为*。 Effect Effect代表本条的Statement的授权的结果,分为Allow和Deny,分别指代通过和禁止。多条Statement同时匹配成功时,禁止(Deny)的优先级更高。 例如,期望禁止用户对某一目录进行删除,但对于其他文件有全部权限: { "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "oss:*" ], "Resource": [ "acs:oss:*:*:bucketname" ] }, { "Effect": "Deny", "Action": [ "oss:DeleteObject" ], "Resource": [ "acs:oss:*:*:bucketname/index/*", ] } ] } Condition Condition代表Policy授权的一些条件,上面的示例里面可以设置对于acs:UserAgent的检查、acs:SourceIp的检查、还有oss:Prefix这项用来在GetBucket的时候对资源进行限制。 OSS支持的Condition如下: condition 功能 合法取值 acs:SourceIp 指定ip网段 普通的ip,支持*通配 acs:UserAgent 指定http useragent头 字符串 acs:CurrentTime 指定合法的访问时间 ISO8601格式 acs:SecureTransport 是否是https协议 “true”或者”false” oss:Prefix 用作ListObjects时的prefix 合法的object name 更多示例 针对具体场景更多的授权策略配置示例,可以参考教程示例:控制存储空间和文件夹的访问权限和OSS授权常见问题。 Policy在线图形化便捷配置工具,请单击这里。 最佳实践 RAM和STS使用指南

2019-12-01 23:12:47 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 发送访问OSS的请求 您可以直接使用OSS提供的RESTful API接口访问或者使用对API接口进行完整封装的SDK开发包。而每一次向OSS的请求根据当前Bucket权限和操作不同要求用户进行身份验证或者直接匿名访问。对OSS的资源访问的分类如下: 按访问者的角色可分为拥有者访问和第三方用户访问。这里的拥有者指的是Bucket的Owner,也称为开发者。第三方用户是指访问Bucket里资源的用户。 按访问者的身份信息可分为匿名访问和带签名访问。对于OSS来说,如果请求中没有携带任何和身份相关的信息即为匿名访问。带签名访问指的是按照OSS API文档中规定的在请求头部或者在请求URL中携带签名的相关信息。 AccessKey 类型 目前访问 OSS 使用的 AK(AccessKey)有三种类型,具体如下: 阿里云账号AccessKey 阿里云账号AK特指Bucket拥有者的AK,每个阿里云账号提供的AccessKey对拥有的资源有完全的权限。每个阿里云账号能够同时拥有不超过5个active或者inactive的AK对(AccessKeyId和AccessKeySecret)。 用户可以登录AccessKey管理控制台,申请新增或删除AK对。 每个AK对都有active/inactive两种状态。 Active 表明用户的 AK 处于激活状态,可以在身份验证的时候使用。 Inactive 表明用户的 AK 处于非激活状态,不能在身份验证的时候使用。 说明 请避免直接使用阿里云账户的 AccessKey。 RAM子账号AccessKey RAM (Resource Access Management) 是阿里云提供的资源访问控制服务。RAM账号AK指的是通过RAM被授权的AK。这组AK只能按照RAM定义的规则去访问Bucket里的资源。通过RAM,您可以集中管理您的用户(比如员工、系统或应用程序),以及控制用户可以访问您名下哪些资源的权限。比如能够限制您的用户只拥有对某一个Bucket的读权限。子账号是从属于主账号的,并且这些账号下不能拥有实际的任何资源,所有资源都属于主账号。 STS账号AccessKey STS(Security Token Service)是阿里云提供的临时访问凭证服务。STS账号AK指的是通过STS颁发的AK。这组AK只能按照STS定义的规则去访问Bucket里的资源。 身份验证具体实现 目前主要有三种身份验证方式: AK验证 RAM验证 STS验证 当用户以个人身份向OSS发送请求时,其身份验证的实现如下: 用户将发送的请求按照OSS指定的格式生成签名字符串。 用户使用AccessKeySecret对签名字符串进行加密产生验证码。 OSS收到请求以后,通过AccessKeyId找到对应的AccessKeySecret,以同样的方法提取签名字符串和验证码。 如果计算出来的验证码和提供的一样即认为该请求是有效的。 否则,OSS将拒绝处理这次请求,并返回HTTP 403错误。 对于用户来说可以直接使用OSS提供的SDK,配合不同类型的AccessKey即可实现不同的身份验证。 权限控制 针对存放在Bucket的Object的访问,OSS提供了多种权限控制,主要有: Bucket级别权限 Object级别权限 账号级别权限(RAM) 临时账号权限(STS) Bucket级别权限 Bucket权限类型 OSS提供ACL(Access Control List)权限控制方法,OSS ACL提供Bucket级别的权限访问控制,Bucket目前有三种访问权限:public-read-write,public-read和private,它们的含义如下: 权限值 中文名称 权限对访问者的限制 public-read-write 公共读写 任何人(包括匿名访问)都可以对该Bucket中的Object进行读/写/删除操作;所有这些操作产生的费用由该Bucket的Owner承担,请慎用该权限。 public-read 公共读,私有写 只有该Bucket的Owner或者授权对象可以对存放在其中的Object进行写/删除操作;任何人(包括匿名访问)可以对Object进行读操作。 private 私有读写 只有该Bucket的Owner或者授权对象可以对存放在其中的Object进行读/写/删除操作;其他人在未经授权的情况下无法访问该Bucket内的Object。 Bucket权限设定和读取方法 功能使用参考: API:Put BucketACL SDK:Java SDK-设置Bucket ACL 控制台:创建Bucket权限设置 API:Get BucketACL SDK:Java SDK-获取Bucket ACL Object级别权限 Object权限类型 OSS ACL也提供Object级别的权限访问控制。目前Object有四种访问权限:private, public-read, public-read-write, default。Put Object ACL操作通过Put请求中的“x-oss-object-acl”头来设置,这个操作只有Bucket Owner有权限执行。 权限值 中文名称 权限对访问者的限制 public-read-write 公共读写 该ACL表明某个Object是公共读写资源,即所有用户拥有对该Object的读写权限。 public-read 公共读,私有写 该ACL表明某个Object是公共读资源,即非Object Owner只有该Object的读权限,而Object Owner拥有该Object的读写权限。 private 私有读写 该ACL表明某个Object是私有资源,即只有该Object的Owner拥有该Object的读写权限,其他的用户没有权限操作该Object。 default 默认权限 该ACL表明某个Object是遵循Bucket读写权限的资源,即Bucket是什么权限,Object就是什么权限。 说明 如果没有设置Object的权限,即Object的ACL为default,Object的权限和Bucket权限一致。 如果设置了Object的权限,Object的权限大于Bucket权限。举个例子,如果设置了Object的权限是public-read,无论Bucket是什么权限,该Object都可以被身份验证访问和匿名访问。 Object权限设定和读取方法 功能使用参考: API:Put Object ACL SDK:Java SDK-ObjectACL 中设定Object ACL API:Get Object ACL SDK:Java SDK-ObjectACL 中读取Object ACL 账号级别权限(RAM) 使用场景 如果您购买了云资源,您的组织里有多个用户需要使用这些云资源,这些用户只能共享使用您的云账号AccessKey。这里有两个问题: 您的密钥由多人共享,泄露的风险很高。 您无法控制特定用户能访问哪些资源(比如Bucket)的权限。 解决方法:在您的阿里云账号下面,通过RAM可以创建具有自己AccessKey的子用户。您的阿里云账号被称为主账号,创建出来的账号被称为子账号,使用子账号的AccessKey只能使用主账号授权的操作和资源。 具体实现 有关RAM详情,请参考RAM用户手册。 对于授权中需要的Policy的配置方式可以参考本章最后一节:RAM和STS授权策略(Policy)配置。 临时账号权限(STS) 使用场景 对于您本地身份系统所管理的用户,比如您的App的用户、您的企业本地账号、第三方App,也有直接访问OSS资源的可能,将这部分用户称为联盟用户。此外,用户还可以是您创建的能访问您的阿里云资源的应用程序。 对于这部分联盟用户,通过阿里云STS (Security Token Service) 服务为阿里云账号(或RAM用户)提供短期访问权限管理。您不需要透露云账号(或RAM用户)的长期密钥(如登录密码、AccessKey),只需要生成一个短期访问凭证给联盟用户使用即可。这个凭证的访问权限及有效期限都可以由您自定义。您不需要关心权限撤销问题,访问凭证过期后会自动失效。 用户通过STS生成的凭证包括安全令牌(SecurityToken)、临时访问密钥(AccessKeyId, AccessKeySecret)。使用AccessKey方法与您在使用阿里云账户或RAM用户AccessKey发送请求时的方法相同。此外还需要注意的是在每个向OSS发送的请求中必须携带安全令牌。 具体实现 STS安全令牌、角色管理和使用相关内容详情,请参考RAM用户指南中的角色管理。关键是调用STS服务接口AssumeRole来获取有效访问凭证即可,也可以直接使用STS SDK来调用该方法。 RAM和STS应用场景实践 对于不同的应用场景,涉及到的访问身份验证方式可能存在差异。下面以几种典型的应用场景来说明访问身份验证中几种使用方式。 以一个移动App举例。假设您是一个移动App开发者,打算使用阿里云OSS服务来保存App的终端用户数据,并且要保证每个App用户之间的数据隔离,防止一个App用户获取到其它App用户的数据。 方式一:使用AppServer来做数据中转和数据隔离如上图所示,您需要开发一个AppServer。只有AppServer能访问云服务,ClientApp的每次读写数据都需要通过AppServer,AppServer来保证不同用户数据的隔离访问。 对于该种使用方式,使用阿里云账号或者RAM账号提供的密钥来进行签名验证访问。建议您尽量不要直接使用阿里云账号(主账号)的密钥访问OSS,避免出现安全问题。 方式二:使用STS让用户直接访问OSS STS方案描述如下图所示:方案的详细描述如下: App用户登录。App用户和云账号无关,它是App的终端用户,AppServer支持App用户登录。对于每个有效的App用户来说,需要AppServer能定义出每个App用户的最小访问权限。 AppServer请求STS服务获取一个安全令牌(SecurityToken)。在调用STS之前,AppServer需要确定App用户的最小访问权限(用Policy语法描述)以及授权的过期时间。然后通过扮演角色(AssumeRole)来获取一个代表角色身份的安全令牌。 STS返回给AppServer一个有效的访问凭证,包括一个安全令牌(SecurityToken)、临时访问密钥(AccessKeyId, AccessKeySecret)以及过期时间。 AppServer将访问凭证返回给ClientApp。ClientApp可以缓存这个凭证。当凭证失效时,ClientApp需要向AppServer申请新的有效访问凭证。比如,访问凭证有效期为1小时,那么ClientApp可以每30分钟向AppServer请求更新访问凭证。 ClientApp使用本地缓存的访问凭证去请求Aliyun Service API。云服务会感知STS访问凭证,并会依赖STS服务来验证访问凭证,正确响应用户请求。 RAM和STS授权策略(Policy)配置 对于RAM或者STS授权中使用Policy,详细规则如下。 示例 先看下面的一个Policy示例: { "Version": "1", "Statement": [ { "Action": [ "oss:GetBucketAcl", "oss:ListObjects" ], "Resource": [ "acs:oss:*:1775305056529849:mybucket" ], "Effect": "Allow", "Condition": { "StringEquals": { "acs:UserAgent": "java-sdk", "oss:Prefix": "foo" }, "IpAddress": { "acs:SourceIp": "192.168.0.1" } } }, { "Action": [ "oss:PutObject", "oss:GetObject", "oss:DeleteObject" ], "Resource": [ "acs:oss:*:1775305056529849:mybucket/file*" ], "Effect": "Allow", "Condition": { "IpAddress": { "acs:SourceIp": "192.168.0.1" } } } ] } 这是一个授权的Policy,用户用这样的一个Policy通过RAM或STS服务向其他用户授权。Policy当中有一个Statement(一条Policy当中可以有多条Statement)。Statement里面规定了相应的Action、Resource、Effect和Condition。 这条Policy把用户自己名下的mybucket和mybucket/file*这些资源授权给相应的用户,并且支持GetBucketAcl、GetBucket、PutObject、GetObject和DeleteObject这几种操作。Condition中的条件表示UserAgent为java-sdk,源IP为192.168.0.1的时候鉴权才能通过,被授权的用户才能访问相关的资源。Prefix这个Condition是在GetBucket(ListObjects)的时候起作用的,关于这个字段的解释详见OSS的API文档。 配置细则 Version Version定义了Policy的版本,本文档中sw2q的配置方式,设置为1。 Statement 通过Statement描述授权语义,其中可以根据业务场景包含多条语义,每条包含对Action、Effect、Resource和Condition的描述。每次请求系统会逐条依次匹配检查,所有匹配成功的Statement会根据Effect的设置不同分为通过(Allow)、禁止(Deny),其中禁止(Deny)的优先。如果匹配成功的都为通过,该条请求即鉴权通过。如果匹配成功有一条禁止,或者没有任何条目匹配成功,该条请求被禁止访问。 Action Action分为三大类:Service级别操作,对应的是GetService操作,用来列出所有属于该用户的Bucket列表。 Bucket级别操作,对应类似于oss:PutBucketAcl、oss:GetBucketLocation之类的操作,操作的对象是Bucket,它们的名称和相应的接口名称一一对应。 Object级别操作,分为oss:GetObject、oss:PutObject、oss:DeleteObject和oss:AbortMultipartUpload,操作对象是Object。 如想授权某一类的Object的操作,可以选择这几种的一种或几种。另外,所有的Action前面都必须加上oss:,如上面例子所示。Action是一个列表,可以有多个Action。具体的Action和API接口的对应关系如下: Service级别 API Action GetService(ListBuckets) oss:ListBuckets Bucket级别 API Action PutBucket oss:PutBucket GetBucket(ListObjects) oss:ListObjects PutBucketAcl oss:PutBucketAcl DeleteBucket oss:DeleteBucket GetBucketLocation oss:GetBucketLocation GetBucketAcl oss:GetBucketAcl GetBucketLogging oss:GetBucketLogging PutBucketLogging oss:PutBucketLogging DeleteBucketLogging oss:DeleteBucketLogging GetBucketWebsite oss:GetBucketWebsite PutBucketWebsite oss:PutBucketWebsite DeleteBucketWebsite oss:DeleteBucketWebsite GetBucketReferer oss:GetBucketReferer PutBucketReferer oss:PutBucketReferer GetBucketLifecycle oss:GetBucketLifecycle PutBucketLifecycle oss:PutBucketLifecycle DeleteBucketLifecycle oss:DeleteBucketLifecycle ListMultipartUploads oss:ListMultipartUploads PutBucketCors oss:PutBucketCors GetBucketCors oss:GetBucketCors DeleteBucketCors oss:DeleteBucketCors PutBucketReplication oss:PutBucketReplication GetBucketReplication oss:GetBucketReplication DeleteBucketReplication oss:DeleteBucketReplication GetBucketReplicationLocation oss:GetBucketReplicationLocation GetBucketReplicationProgress oss:GetBucketReplicationProgress Object级别 API Action GetObject oss:GetObject HeadObject oss:GetObject PutObject oss:PutObject PostObject oss:PutObject InitiateMultipartUpload oss:PutObject UploadPart oss:PutObject CompleteMultipart oss:PutObject DeleteObject oss:DeleteObject DeleteMultipartObjects oss:DeleteObject AbortMultipartUpload oss:AbortMultipartUpload ListParts oss:ListParts CopyObject oss:GetObject,oss:PutObject UploadPartCopy oss:GetObject,oss:PutObject AppendObject oss:PutObject GetObjectAcl oss:GetObjectAcl PutObjectAcl oss:PutObjectAcl Resource Resource指代的是OSS上面的某个具体的资源或者某些资源(支持*通配),resource的规则是acs:oss:{region}:{bucket_owner}:{bucket_name}/{object_name}。对于所有Bucket级别的操作来说不需要最后的斜杠和{object_name},即acs:oss:{region}:{bucket_owner}:{bucket_name}。Resource也是一个列表,可以有多个Resource。其中的region字段暂时不做支持,设置为*。 Effect Effect代表本条的Statement的授权的结果,分为Allow和Deny,分别指代通过和禁止。多条Statement同时匹配成功时,禁止(Deny)的优先级更高。 例如,期望禁止用户对某一目录进行删除,但对于其他文件有全部权限: { "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "oss:*" ], "Resource": [ "acs:oss:*:*:bucketname" ] }, { "Effect": "Deny", "Action": [ "oss:DeleteObject" ], "Resource": [ "acs:oss:*:*:bucketname/index/*", ] } ] } Condition Condition代表Policy授权的一些条件,上面的示例里面可以设置对于acs:UserAgent的检查、acs:SourceIp的检查、还有oss:Prefix这项用来在GetBucket的时候对资源进行限制。 OSS支持的Condition如下: condition 功能 合法取值 acs:SourceIp 指定ip网段 普通的ip,支持*通配 acs:UserAgent 指定http useragent头 字符串 acs:CurrentTime 指定合法的访问时间 ISO8601格式 acs:SecureTransport 是否是https协议 “true”或者”false” oss:Prefix 用作ListObjects时的prefix 合法的object name 更多示例 针对具体场景更多的授权策略配置示例,可以参考教程示例:控制存储空间和文件夹的访问权限和OSS授权常见问题。 Policy在线图形化便捷配置工具,请单击这里。 最佳实践 RAM和STS使用指南

2019-12-01 23:12:47 0 浏览量 回答数 0

问题

授予RAM子用户访问权限有什么用处?

轩墨 2019-12-01 21:58:43 1545 浏览量 回答数 0

回答

借助访问控制 RAM 的 RAM 用户,您可以实现权限分割的目的,按需为子账号赋予不同权限,并避免因暴露阿里云账号(主账号)密钥造成的安全风险。 背景信息 出于安全考虑,您可以为阿里云账号(主账号)创建 RAM 用户(子账号),并根据需要为这些子账号赋予不同的权限,这样就能在不暴露主账号密钥的情况下,实现让子账号各司其职的目的。在本文中,假设企业 A 希望让部分员工处理日常运维工作,则企业 A 可以创建 RAM 用户,并为 RAM 用户赋予相应权限,此后员工即可使用这些 RAM 用户登录控制台或调用 API 。 Web+提供的系统权限策略包括: WebPlusFullAccess:Web+的完整权限。 WebPlusReadOnlyAccess:Web+的只读权限。 前提条件 开通Web+服务 开通访问控制RAM 步骤一:创建 RAM 用户 首先需要使用阿里云账号(主账号)登录 RAM 控制台并创建 RAM 用户。 登录 RAM 控制台,在左侧导航栏中选择人员管理 > 用户,并在用户页面上单击新建用户。 在新建用户页面的用户账号信息区域中,输入登录名称和显示名称。 说明 登录名称中允许使用英文字母、数字、“.”、“_”和“-”,长度不超过 128 个字符。显示名称不可超过 24 个字符或汉字。 (可选)如需一次创建多个用户,则单击添加用户,并重复上一步。 在访问方式区域,选中控制台密码登录或编程访问,并单击确定。 说明 为提高安全性,请仅选中一种访问方式。 如果选中控制台密码登录,则完成进一步设置,包括自动生成默认密码或自定义登录密码、登录时是否要求重置密码,以及是否开启 MFA(多因素认证)。 如果选中编程访问,则 RAM 会自动为 RAM 用户创建 AccessKey(API 访问密钥)。 注意 出于安全考虑,RAM 控制台只在创建 AccessKey 时提供一次查看或下载 AccessKeySecret 的机会,因此请务必将 AccessKeySecret 记录到安全的地方。 在手机验证对话框中单击获取验证码,并输入收到的手机验证码,然后单击确定。 创建的 RAM 用户显示在用户页面上。 步骤二:为 RAM 用户添加权限 在使用 RAM 用户之前,需要为其添加相应权限。 在 RAM 控制台左侧导航栏中选择人员管理 > 用户。 在用户页面上找到需要授权的用户,单击操作列中的添加权限。 在添加权限面板的选择权限区域中,通过关键字搜索需要添加的权限策略,并单击权限策略将其添加至右侧的已选择列表中,然后单击确定。 说明 可添加的权限参见背景信息部分。 在添加权限的授权结果页面上,查看授权信息摘要,并单击完成。 后续步骤 使用阿里云账号(主账号)创建好 RAM 用户后,即可将 RAM 用户的登录名称及密码或者 AccessKey 信息分发给其他用户。其他用户可以按照以下步骤使用 RAM 用户登录控制台或调用 API。 登录控制台 在浏览器中打开 RAM 用户登录入口 https://signin.aliyun.com/login.htm。 在 RAM 用户登录页面上,输入 RAM 用户登录名称,单击下一步,并输入 RAM 用户密码,然后单击登录。 说明 RAM 用户登录名称的格式为 <子用户名称>@<默认域名>,或<子用户名称>@<企业别名>,例如 username@company-alias.onaliyun.com 或 username@company-alias。 在子用户用户中心页面上单击有权限的产品,即可访问控制台。 使用 RAM 用户的 AccessKey 调用 API 在代码中使用 RAM 用户的 AccessKeyId 和 AccessKeySecret 即可。 更多信息 什么是访问控制 基本概念 RAM 用户登录控制台

1934890530796658 2020-03-23 15:15:49 0 浏览量 回答数 0

回答

楼主您好, 请问,如何测试?您的网站地址是什么? 验证码无法显示,有可能是php组件不齐,如 php-gd,或因为目录的权限无法自动生成。 期待着您的回复喔。 ------------------------- 回 4楼(liuminzhiwai) 的帖子 楼主您好, 请问,您的建站程序是 phpmywind 的吗? 从页面的元素来看,您的验证码显示地址是 http://mzzone.com.cn/data/captcha/ckstr.php , 您的nginx 会返回404的出错信息。 从网上,随意搜索到一个,是能正常显示,如: http://www.htzhanche.com/data/captcha/ckstr.php 您可以先查看一下您的网站程序是否对data的目录必要有写的权限。

dongshan8 2019-12-02 01:03:46 0 浏览量 回答数 0

回答

在Linux服务器之间建立信任关系,是很多线上服务系统的基础性工作,这样能便于程序在多台服务器之间自动传输数据,或者方便用户不输入密码就可以在不同的主机间完成登录或者各种操作。 网上关于建立Linux信任关系(ssh trust)的中文文章有一些,但是写得都不太详细,这里汇总了方方面面的资料,把多机信任关系建立方法说说清楚(文/陈运文) 一 建立信任关系的基本操作 基本场景是想从一台Server服务器直接登录另一台,或者将Server服务器的数据不需密码验证直接拷贝至Client服务器,以下我们简称Server服务器为S(待发送的数据文件在这台服务器上),Client服务为C,信任关系的最简单操作方法如下: 1 在S服务器上,进入当前用户根目录下的隐藏目录 .ssh,命令如下: cd ~/.ssh (注:目录名前的点好”.”表示该文件夹是一个特殊的隐藏文件夹,ls命令下默认是看不到的,通过 ls –a 命令观察到) 2 生成S服务器的私钥和公钥: ssh-keygen -t rsa (注:rsa是一种加密算法的名称,此处也可以使用dsa,关于rsa和dsa算法的介绍可见本文后半章节) ssh-keygen生成密钥用于信任关系生成 -此时会显示Generating public/private key pair. 并提示生成的公钥私钥文件的存放路径和文件名,默认是放在 /home/username/.ssh/id_rsa 这样的文件里的,通常不用改,回车就可以 然后Enter passphrase(empty for no passphrase): 通常直接回车,默认不需要口令 Enter same passphrase again: 也直接回车 然后会显式密钥fingerprint生成好的提示,并给出一个RSA加密协议的方框图形。此时在.ssh目录下ls,就可以看到生成好的私钥文件id_rsa和公钥文件id_rsa.pub了 以下是各种补充说明: 注1:如果此时提示 id_rsaalready exists,Overwrite(y/n) 则说明之前已经有人建好了密钥,此时选择n 忽略本次操作就行,可以直接用之前生成好的文件;当然选y覆盖一下也无妨 注2:公钥用于加密,它是向所有人公开的(pub是公开的单词public的缩写);私钥用于解密,只有密文的接收者持有。 3 在Server服务器上加载私钥文件 仍然在.ssh目录下,执行命令: ssh-add id_rsa 系统如果提示:Identity added: id_rsa (id_rsa) 就表明加载成功了 下面有几个异常情况处理: –如果系统提示:could not open a connection to your authentication agent 则需要执行一下命令: ssh-agent bash 然后再执行上述的ssh-add id_rsa命令 –如果系统提示id_rsa: No such file or directory 这是系统无法找到私钥文件id_rsa,需要看看当前路径是不是不在.ssh目录,或者私钥文件改了名字,例如如果建立的时候改成 aa_rsa,则这边命令中也需要相应改一下 -如果系统提示 command not found,那肯定是你命令敲错字符了J -提示Agent admitted failure to sign using the key,私钥没有加载成功,重试ssh-add -注意id_rsa/id_rsa.pub文件不要删除,存放在.ssh目录下 4 把公钥拷贝至Client服务器上 很简单,例如 scp id_rsa.pub user@10.11.xx.xx:~ 5 ssh登录到Client服务器上,然后在Client服务器上,把公钥的内容追加到authorized_keys文件末尾(这个文件也在隐藏文件夹.ssh下,没有的话可以建立,没有关系) cat id_rsa.pub >> ~/.ssh/authorized_keys 以下是各种补充说明,遇到问题时可以参考: 注1:这里不推荐用文件覆盖的方式,有些教程直接scp id_rsa.pub 到Client服务器的authorized_keys文件,会导致之前建的其他信任关系的数据被破坏,追加到末尾是更稳妥的方式; 注2: cat 完以后,Client服务器上刚才拷贝过来的id_rsa.pub文件就不需要了,可以删除或移动到其它地方) 注3:ssh-keygen 命令通过-b参数可以指定生成的密钥文件的长度,如果不指定则默认为1024,如果ssh-keygen –b 4096(最长4096),则加密程度提高,但是生成和验证时间会增加。对一般的应用来说,默认长度已经足够胜任了。如果是rsa加密方式,那么最短长度为768 byte 注4:authorized_keys文件的权限问题。如果按上述步骤建立关系后,仍然要验证密码,并且没有其他报错,那么需要检查一下authorized_keys文件的权限,需要作下修改: chmod g-w authorized_keys OK,现在试试在Server端拷贝一个文件到Client服务器,应该无需交互直接就传过去了。 但是此时从Client传数据到Server服务器,仍然是需要密码验证的。如果需要两台服务器间能直接互传数据,则反过来按上述步骤操作一下就可以了 二 删除服务器间信任关系的方法 如果想取消两台服务器之间的信任关系,直接删除公钥或私钥是没有用的,需要在Client服务器上,打开 ~/.ssh/ authorized_keys 文件,找到对应的服务器的公钥字段并删除 每个段落的开头是ssh-rsa字样,段尾是Server服务器的帐号和ip(如下图红框),需要细心的找一下后删除整段 密钥文件内容和删除Linux服务器间信任关系的方法 三 各种可能遇到的情况和处理方法 –提示 port 22: Connection refused 可能的原因:没有正确安装最新的openssh-server,安装方法如下 sudo apt-get install openssh-server 不支持apt安装的,可以手工下载: wget ftp.ssh.com/pub/ssh/ssh-3.2.9.1.tar.gz –关于目录和文件的权限设置 .ssh目录的权限必须是700,同时本机的私钥的权限必须设置成600: chmod 600 id_rsa 否则ssh服务器会拒绝登录 四 关于RSA和DSA加密算法 在ssh-keygen命令中,-t参数后指定的是加密算法,可以选择rsa或者dsa RSA 取名自算法的三位提出者Ron Rivest, Adi Shamir, and Leonard Adleman的姓名首字母,作为一种非对称加密算法,RSA的安全性基于及其困难的大整数分解(两个素数的乘积的还原问题)。关于RSA算法原理的文章很多,感兴趣的朋友可以找来读一读。 DSA = Digital Signature Algorithm,基于有限域离散对数难题,是Schnorr和ElGamal签名算法的变种,一般用于数字签名和认证,被美国标准局(NIST)采纳为数字签名标准DSS(Digital Signature Standard),based on discrete logarithms computation. DES = Digital Encryption Standard. Obsolete standard. RSA算法好在网络容易实现密钥管理,便进行数字签名,算法复杂,加/解速度慢,采用非对称加密。在实际用于信任关系建立中,这两种方法的差异很微小,可以挑选其一使用。 五 关于SSH协议的介绍 SSH全称Secure SHell,顾名思义就是非常安全的shell的意思,SSH协议是IETF(Internet Engineering Task Force)的Network Working Group所制定的一种协议。SSH的主要目的是用来取代传统的telnet和R系列命令(rlogin,rsh,rexec等)远程登陆和远程执行命令的工具,实现对远程登陆和远程执行命令加密。防止由于网络监听而出现的密码泄漏,对系统构成威胁。 ssh协议目前有SSH1和SSH2,SSH2协议兼容SSH1。目前实现SSH1和SSH2协议的主要软件有OpenSSH和SSH Communications Security Corporation 公司的SSH Communications 软件。前者是OpenBSD组织开发的一款免费的SSH软件,后者是商业软件,因此在linux、FreeBSD、OpenBSD、NetBSD等免费类UNIX系统种,通畅都使用OpenSSH作为SSH协议的实现软件。因此,本文重点介绍一下OpenSSH的使用。需要注意的是OpenSSH和SSH Communications的登陆公钥/私钥的格式是不同的,如果想用SSH Communications产生的私钥/公钥对来登入到使用OpenSSH的linux系统需要对公钥/私钥进行格式转换。 第一次登陆后,ssh就会把登陆的ssh指纹存放在用户home目录的.ssh目录的know_hosts文件中,如果远程系统重装过系统,ssh指纹已经改变,你需要把 .ssh 目录下的know_hosts中的相应指纹删除,再登陆回答yes,方可登陆。请注意.ssh目录是开头是”.”的隐藏目录,需要ls –a参数才能看到。而且这个目录的权限必须是700,并且用户的home目录也不能给其他用户写权限,否则ssh服务器会拒绝登陆。如果发生不能登陆的问题,请察看服务器上的日志文件/var/log/secure。通常能很快找到不能登陆的原因。 六 关于ssh_config和sshd_config文件配置的说明 /etc/ssh/ssh_config: Host * 选项“Host”只对能够匹配后面字串的计算机有效。“*”表示所有的计算机。 ForwardAgent no “ForwardAgent”设置连接是否经过验证代理(如果存在)转发给远程计算机。 ForwardX11 no “ForwardX11”设置X11连接是否被自动重定向到安全的通道和显示集(DISPLAY set)。 RhostsAuthentication no “RhostsAuthentication”设置是否使用基于rhosts的安全验证。 RhostsRSAAuthentication no “RhostsRSAAuthentication”设置是否使用用RSA算法的基于rhosts的安全验证。 RSAAuthentication yes “RSAAuthentication”设置是否使用RSA算法进行安全验证。 PasswordAuthentication yes “PasswordAuthentication”设置是否使用口令验证。 FallBackToRsh no “FallBackToRsh”设置如果用ssh连接出现错误是否自动使用rsh。 UseRsh no “UseRsh”设置是否在这台计算机上使用“rlogin/rsh”。 BatchMode no “BatchMode”如果设为“yes”,passphrase/password(交互式输入口令)的提示将被禁止。当不能交互式输入口令的时候,这个选项对脚本文件和批处理任务十分有用。 CheckHostIP yes “CheckHostIP”设置ssh是否查看连接到服务器的主机的IP地址以防止DNS欺骗。建议设置为“yes”。 StrictHostKeyChecking no “StrictHostKeyChecking”如果设置成“yes”,ssh就不会自动把计算机的密匙加入“$HOME/.ssh/known_hosts”文件,并且一旦计算机的密匙发生了变化,就拒绝连接。 IdentityFile ~/.ssh/identity “IdentityFile”设置从哪个文件读取用户的RSA安全验证标识。 Port 22 “Port”设置连接到远程主机的端口。 Cipher blowfish “Cipher”设置加密用的密码。 EscapeChar ~ “EscapeChar”设置escape字符。 /etc/ssh/sshd_config: Port 22 “Port”设置sshd监听的端口号。 ListenAddress 192.168.1.1 “ListenAddress”设置sshd服务器绑定的IP地址。 HostKey /etc/ssh/ssh_host_key “HostKey”设置包含计算机私人密匙的文件。 ServerKeyBits 1024 “ServerKeyBits”定义服务器密匙的位数。 LoginGraceTime 600 “LoginGraceTime”设置如果用户不能成功登录,在切断连接之前服务器需要等待的时间(以秒为单位)。 KeyRegenerationInterval 3600 “KeyRegenerationInterval”设置在多少秒之后自动重新生成服务器的密匙(如果使用密匙)。重新生成密匙是为了防止用盗用的密匙解密被截获的信息。 PermitRootLogin no “PermitRootLogin”设置root能不能用ssh登录。这个选项一定不要设成“yes”。 IgnoreRhosts yes “IgnoreRhosts”设置验证的时候是否使用“rhosts”和“shosts”文件。 IgnoreUserKnownHosts yes “IgnoreUserKnownHosts”设置ssh daemon是否在进行RhostsRSAAuthentication安全验证的时候忽略用户的“$HOME/.ssh/known_hosts” StrictModes yes “StrictModes”设置ssh在接收登录请求之前是否检查用户家目录和rhosts文件的权限和所有权。这通常是必要的,因为新手经常会把自己的目录和文件设成任何人都有写权限。 X11Forwarding no “X11Forwarding”设置是否允许X11转发。 PrintMotd yes “PrintMotd”设置sshd是否在用户登录的时候显示“/etc/motd”中的信息。 SyslogFacility AUTH “SyslogFacility”设置在记录来自sshd的消息的时候,是否给出“facility code”。 LogLevel INFO “LogLevel”设置记录sshd日志消息的层次。INFO是一个好的选择。查看sshd的man帮助页,已获取更多的信息。 RhostsAuthentication no “RhostsAuthentication”设置只用rhosts或“/etc/hosts.equiv”进行安全验证是否已经足够了。 RhostsRSAAuthentication no “RhostsRSA”设置是否允许用rhosts或“/etc/hosts.equiv”加上RSA进行安全验证。 RSAAuthentication yes “RSAAuthentication”设置是否允许只有RSA安全验证。 PasswordAuthentication yes “PasswordAuthentication”设置是否允许口令验证。 PermitEmptyPasswords no “PermitEmptyPasswords”设置是否允许用口令为空的帐号登录。 AllowUsers admin “AllowUsers”的后面可以跟着任意的数量的用户名的匹配串(patterns)或user@host这样的匹配串,这些字符串用空格隔开。主机名可以是DNS名或IP地址。

boxti 2019-12-02 01:27:05 0 浏览量 回答数 0

回答

使用企业 A 的阿里云账号(主账号)创建 RAM 角色并为该角色授权,并将该角色赋予企业 B,即可实现使用企业 B 的主账号或其 RAM 用户(子账号)访问企业 A 的阿里云资源的目的。 背景信息 假设企业 A 购买了多种云资源来开展业务,并需要授权企业 B 代为开展部分业务,则可以利用 RAM 角色来实现此目的。RAM 角色是一种虚拟用户,没有确定的身份认证密钥,需要被一个受信的实体用户扮演才能正常使用。为了满足企业 A 的需求,可以按照以下流程操作: 企业 A 创建 RAM 角色 企业 A 为该 RAM 角色添加权限 企业 B 创建 RAM 用户 企业 B 为 RAM 用户添加 AliyunSTSAssumeRoleAccess 权限 企业 B 的 RAM 用户通过控制台或 API 访问企业 A 的资源 可以为 RAM 角色添加的 Web+ 系统权限策略包括: WebPlusFullAccess:Web+的完整权限。 WebPlusReadOnlyAccess:Web+的只读权限。 步骤一:企业 A 创建 RAM 角色 首先需要使用企业 A 的阿里云账号(主账号)登录 RAM 控制台并创建 RAM 角色。 登录 RAM 控制台,在左侧导航栏中单击 RAM 角色管理,并在 RAM 角色管理页面上单击新建 RAM 角色。 在新建 RAM 角色面板中执行以下操作并单击完成。 在选择可信实体类型区域中选择阿里云账号,并单击下一步。 在角色名称文本框内输入 RAM 角色名称。 说明 RAM 角色名称中允许使用英文字母、数字和“-”,长度不超过 64 个字符。 在选择云账号区域中选择其他云账号,并在文本框内输入企业 B 的云账号。 步骤二:企业 A 为该 RAM 角色添加权限 新创建的角色没有任何权限,因此企业 A 必须为该角色添加权限。 在 RAM 控制台左侧导航栏中单击 RAM 角色管理。 在 RAM 角色管理页面上单击目标角色操作列中的添加权限。 在添加权限面板的选择权限区域中,通过关键字搜索需要添加的权限策略,并单击权限策略将其添加至右侧的已选择列表中,然后单击确定。 说明 可添加的权限参见背景信息部分。 在添加权限的授权结果页面上,查看授权信息摘要,并单击完成。 步骤三:企业 B 创建 RAM 用户 接下来要使用企业 B 的阿里云账号(主账号)登录 RAM 控制台并创建 RAM 用户。 登录 RAM 控制台,在左侧导航栏中选择人员管理 > 用户,并在用户页面上单击新建用户。 在新建用户页面的用户账号信息区域中,输入登录名称和显示名称。 说明 登录名称中允许使用英文字母、数字、“.”、“_”和“-”,长度不超过 128 个字符。显示名称不可超过 24 个字符或汉字。 (可选)如需一次创建多个用户,则单击添加用户,并重复上一步。 在访问方式区域,选中控制台密码登录或编程访问,并单击确定。 说明 为提高安全性,请仅选中一种访问方式。 如果选中控制台密码登录,则完成进一步设置,包括自动生成默认密码或自定义登录密码、登录时是否要求重置密码,以及是否开启 MFA(多因素认证)。 如果选中编程访问,则 RAM 会自动为 RAM 用户创建 AccessKey(API 访问密钥)。 注意 出于安全考虑,RAM 控制台只在创建 AccessKey 时提供一次查看或下载 AccessKeySecret 的机会,因此请务必将 AccessKeySecret 记录到安全的地方。 在手机验证对话框中单击获取验证码,并输入收到的手机验证码,然后单击确定。 创建的 RAM 用户显示在用户页面上。 步骤四:企业 B 为 RAM 用户添加权限 企业 B 必须为其主账号下的 RAM 用户添加 AliyunSTSAssumeRoleAccess 权限,RAM 用户才能扮演企业 A 创建的 RAM 角色。 在 RAM 控制台左侧导航栏中选择人员管理 > 用户。 在用户页面上找到需要授权的用户,单击操作列中的添加权限。 在添加权限面板的选择权限区域中,通过关键字搜索 AliyunSTSAssumeRoleAccess 权限策略 ,并单击该权限策略将其添加至右侧的已选择列表中,然后单击确定。 在添加权限的授权结果页面上,查看授权信息摘要,并单击完成。 后续步骤 完成上述操作后,企业 B 的 RAM 用户即可按照以下步骤登录控制台访问企业 A 的云资源或调用 API。 登录控制台访问企业 A 的云资源 在浏览器中打开 RAM 用户登录入口 https://signin.aliyun.com/login.htm。 在 RAM 用户登录页面上,输入 RAM 用户登录名称,单击下一步,并输入 RAM 用户密码,然后单击登录。 说明 RAM 用户登录名称的格式为 <子用户名称>@<默认域名>,或<子用户名称>@<企业别名>,例如 username@company-alias.onaliyun.com 或 username@company-alias。 在子用户用户中心页面上,将鼠标指针移到右上角头像,并在浮层中单击切换身份。 在阿里云-角色切换页面,输入企业 A 的企业别名或默认域名,以及角色名,然后单击切换。 对企业 A 的阿里云资源执行操作。 使用企业 B 的 RAM 用户通过 API 访问企业 A 的云资源 要使用企业 B 的 RAM 用户通过 API 访问企业 A 的云资源,必须在代码中提供 RAM 用户的 AccessKeyId、AccessKeySecret 和 SecurityToken(临时安全令牌)。使用 STS 获取临时安全令牌的方法参见STS 使用入门。

1934890530796658 2020-03-23 15:29:29 0 浏览量 回答数 0

回答

成为政务云的用户后,您仅需关注您的云资源的水位、利用率等基础运维事务,政务云平台的运维由阿里云运维工程师执行。 阿里云运维工程师通过飞天运维管理平台统一运维管理政务云平台,并采取严格的访问控制、职责分离、监控审计的运维策略,来确保政务云平台的运维安全。 访问控制 阿里云运维团队进行政务云平台的运维工作时,对政务云的访问受到严格的安全合规约束,阿里政务云内部网络与阿里云内网完全隔离,运维的必访问操作须使用特定的“跳板机”才能够进行底层资源的运维工作。 职责分离与权限管理 职责分离 阿里云对运维权限分角色进行职责分离,防止权限滥用和审计失效。 运维和审计职责分离,运维团队执行运维操作,安全团队负责审计。 数据库管理员和系统管理员职责分离。 账号管理和身份认证 阿里云使用统一的账号管理和身份认证系统管理员工账号生命周期: 每个员工存在唯一的账号。 集中下发密码策略,强制要求员工设置符合密码长度、复杂度要求的密码,并定期修改密码。 支持账号密码登录、一次性口令登录、数字证书登录等多种认证登录方式。 授权 阿里云基于员工工作岗位和角色,遵循最小权限和职责分离原则,授予员工有限的资源访问权限。 员工根据工作需要通过集中的权限管理平台申请VPN访问权限、堡垒机访问权限、管控平台以及生产系统访问权限,经主管、数据或系统所有者、安全管理员以及相关部门审批后,进行授权。 监控审计与变更管理 监控 阿里云使用自动化监控系统对云平台网络设备、服务器、数据库、应用集群以及核心业务进行全面实时监控。监控系统广泛使用仪表盘展示阿里云关键运营指标,并可配置告警阈值,当关键运营指标超过设置的告警阈值时,自动通知运维和管理人员。 审计 员工对生产系统的所有运维操作必须且只能通过堡垒机进行。所有操作过程完整记录下来实时传输到集中日志平台。阿里云根据《帐号使用规范》及《数据安全规范》里定义的违规事项定义审计规则,发现违规行为并通知安全人员跟进。 内部使用的B/S管理和支持系统按照阿里云日志审计规范详细记录敏感操作,并把日志发送到集中日志平台。 变更管理 阿里云依据ISO/IEC 20000建立了完整的变更管理流程,根据变更紧急程度进行变更等级划分;根据变更来源、对象等进行变更分类管理,明确了可能发生的变更结果的界定标准。整个变更以流程化或自动化的系统和工具来支撑,流程涵盖变更申请、评估、审批、测试、实施及复核等阶段,并明确了变更管理流程中各角色的职责。 变更申请阶段界定了需求提出、记录、接收和判定等关键节点。 变更执行阶段主要涵盖变更方案、变更计划、变更评估和变更实施等要求,所有的变更在获准执行之前,需经过测试,变更时间窗口和变更方案等需经过评审,同时阿里云会向可能受影响的客户发出变更通知。重要的变更操作要求双人复核。 变更验证阶段明确了变更验证、配置项复核和变更结果通知等要求。阿里云完整记录变更过程中的信息,并部署了自动化配置检查工具,可自动进行基础设施和信息系统的配置校验。

剑曼红尘 2020-03-23 13:34:32 0 浏览量 回答数 0

问题

目录读写权限怎么设置

99飞翔 2019-12-01 21:13:55 11185 浏览量 回答数 2

回答

一. 简单的方法Tomcat安装目录下的bin目录有两个脚本分别用来启动和停止Tomcat,分别是startup.sh, shutdown.sh,你可以用这两个脚本来手工启动和停止Tomcat服务并进行安装后的测试。我们最简单的方法就是通过startup.sh来自动启动Tomcat,编辑/etc/rc.d/rc.local 增加内容(假设JDK目录是/usr/jdk,Tomcat目录是/apache/tomcat)`export JDK_HOME=/usr/jdkexport JAVA_HOME=/usr/jdk/apache/tomcat/bin/startup.sh`这样在系统重启后就可以自动启动Tomcat二. 复杂而专业的方法前面介绍的应该是最简单的让Tomcat自动启动的方法了,但是它有两个不足无法指定启动Tomcat服务的用户,会导致Tomcat已超级用户运行,存在重大的安全隐患系统关闭的时候无法自动停止Tomcat服务在Linux下,Tomcat可以作为一个守护进程来启动以及停止,这个必须借助于项目commons-daemon中的jsvc工具。 Tomcat安装完后就带有这个工具的源码{tomcat}/bin/jsvc.tar.gz。按照下列命令安装这个工具:解压: tar zxvf jsvc.tar.gz配置: `cd jsvc-src chmod +x configure ./configure --with-java=/usr/jdk`编译: make检验: ./jsvc -helpjsvc工具本身带了一个脚本用来启动和停止Tomcat守护进程,但是在试验中发现该脚本无法设置为自动启动,显示的错误信息是:tomcat 服务不支持 chkconfig,因此修改了此脚本。拷贝脚本到/etc/rc.d/init.d目录下的 tomcat文件,给该脚本赋予可执行权限(chmod +x tomcat)你 可以使用命令/etc/rc.d/init.d/tomcat start|stop 来验证守护进程是否可以正常启动和停止。接下来就是把这个脚本设置成系统启动时自动执行,系统关闭时自动停止,使用如下命令:chkconfig --add tomcat重新启动系统后可以启动的过程中看到Starting Tomcat ..... [OK]的信息,这样就完成设置过程。

落地花开啦 2019-12-02 02:18:53 0 浏览量 回答数 0

回答

阿里云OSS是架构在分布式系统飞天上的分布式存储系统,天然提供冗余备份的机制。通俗来讲,当集群机房硬件出现问题,硬盘出现坏道的时候,由于有多份冗余的机制,用户在读写上都会不感知到硬件错误。阿里云的运维人员会及时更换硬件,保证冗余的可靠性。从使用数据的安全上,阿里云OSS提供一系列的保障机制:1、基础:提供bucket基本的读、写、公共读写的权限控制;提供白名单防盗链机制2、中级:提供AccessKey/AccessValue的API使用机制(同登录账号分离)、提供URL签名验证机制、提供Ram鉴权机制(Token)、提供主子账号机制3、高级:提供定制化的权限解决方案BTW.OSS最新上线异地区域复制机制,这个是从IssA层提供异地容灾的可能。举个栗子,你可以在杭州,上海分别建立Bucet,开启跨区域数据同步机制。OSS会自动在杭州和上海你建立的Bucket间进行数据同步(M大小的文件在分钟级别完成),你的删除,新增操作也会同步。你可以方便在建立主备机制的应用。另外一个场景,你使用多个CDN厂家进行加速,但原本的源站有多个,现在OSS可以支持你多个源站直接的数据同步实现多个源站合一。各种玩法等待你来探索

亮伟 2019-12-02 01:31:22 0 浏览量 回答数 0

问题

访问控制设置 MFA(可选)

反向一觉 2019-12-01 21:26:38 3122 浏览量 回答数 0

回答

弹性伸缩(Auto Scaling)在业务需求增长时无缝地增加ECS实例数量,并在业务需求下降时自动减少ECS实例数量节约成本。为了提供更加弹性、灵活的伸缩服务,伸缩配置支持标签、密钥对、实例RAM角色和实例自定义数据。本文介绍4个特性的作用并演示了使用方式。 前提条件 使用本教程进行操作前,请确保您已经注册了阿里云账号。如还未注册,请先完成账号注册。 背景信息 弹性伸缩不仅提供了在业务需求高峰或低谷时自动调节ECS实例数量的能力,而且提供了在ECS实例上自动部署应用的能力。弹性伸缩的伸缩配置支持多种特性,帮助您高效、灵活地自定义ECS实例配置,满足业务需求。 标签 标签的介绍请参见标签概述。标签可以识别资源和用户组,允许企业或个人将相同作用的云服务器ECS资源归类,便于搜索和资源聚合。伸缩配置支持绑定标签,在创建伸缩配置时选择标签即可。 通过API创建伸缩配置时,您可以使用Tags选择标签,更多信息请参见CreateScalingConfiguration。 SSH密钥对 SSH密钥对的介绍请参见SSH密钥对概述。阿里云只支持RSA 2048位的密钥对,仅Linux实例支持SSH密钥对登录。在创建SSH密钥对时,阿里云会保存密钥的公钥,并向您返回密钥部分。 相比密码方式,使用SSH密钥对登录Linux实例更加快速、安全,您只需要在创建伸缩配置时选择SSH密钥对。在弹性伸缩自动创建出实例后,实例会存储该SSH密钥对的公钥,您在本机使用SSH密钥对的私钥即可登录自动创建的实例。但需要注意以下几点: 通过API创建伸缩配置时,您可以使用KeyPairName选择SSH密钥对,更多信息请参见CreateScalingConfiguration。 实例RAM角色 访问控制(Resource Access Management,RAM)是阿里云提供的一项管理用户身份与资源访问权限的服务。RAM支持创建不同的角色,不同的角色对不同的云产品具有不同的操作权限。 实例RAM角色的介绍请参见实例RAM角色概述。实例RAM角色让ECS实例扮演具有某些权限的角色,从而赋予实例一定的访问权限。在伸缩配置中选择实例RAM角色时,请确保实例RAM角色的权限策略允许您的实例扮演该实例RAM角色,否则伸缩配置无法弹出实例。 通过API创建伸缩配置时,您可以使用RamRoleName选择实例RAM角色,更多信息请参见CreateScalingConfiguration。 实例自定义数据 实例自定义数据的介绍请参见生成实例自定义数据。Windows实例及Linux实例均支持实例自定义数据,主要有以下用途: 作为实例自定义脚本在启动实例时执行,您可以自定义实例的启动行为。 作为普通数据向实例传入信息,您可以在实例中引用这些数据。 相比Terraform等开源IT基础架构管理工具,使用弹性伸缩原生的实例自定义数据更加快速、安全。您只需要准备好实例自定义脚本,然后以Base64编码的方式传入伸缩配置即可,自动创建的ECS实例会在启动时自动执行实例自定义脚本,实现应用级别的扩容和缩容。但需要注意以下几点: 伸缩组的网络类型需要为专有网络(VPC)。 实例自定义数据需要为Base64编码方式。 实例自定义数据将以不加密的方式传入实例,请不要以明文方式传入机密的信息(例如密码、私钥数据等)。如果必须传入,建议先加密原始数据,以Base64方式编码加密后的数据并传入实例,然后在实例内部以同样的方式反解密。 通过API创建伸缩配置时,您可以使用UserData参数传入实例自定义数据,更多信息请参见CreateScalingConfiguration。 合理地使用弹性伸缩服务,不仅能够有效地降低您的服务器成本,而且能够有效地降低您的服务管理和运维成本。为了帮助您准确地理解和使用弹性伸缩服务,本文将结合上述特性,演示伸缩组自动伸缩和自动部署的效果,包括为实例自动添加实例RAM角色、标签属性,设置实例支持密钥对登录,并在实例启动后自动执行自定义脚本。 操作步骤 完成以下操作在伸缩配置中应用标签、密钥对、实例RAM角色和实例自定义数据: 步骤一:创建配置项 步骤二:应用配置项 步骤三:验证自定义配置效果 步骤一:创建配置项 按照以下步骤创建所需的RAM角色、标签、密钥对和实例自定义数据。 创建标签。 具体操作请参见绑定标签。 创建密钥对。 具体操作请参见创建SSH密钥对。 创建实例RAM角色。 具体操作请参见创建可信实体为阿里云服务的RAM角色。您也可以视情况选用已有的RAM角色,在伸缩配置中选择实例RAM角色时,请确保实例RAM角色的权限策略允许伸缩组内的实例扮演该RAM角色,否则伸缩配置无法弹出实例。例如,RAM角色AliyunECSImageExportDefaultRole用于授权导出镜像,允许当前用户的所有ECS实例扮演该RAM角色,其信任策略如下: { "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": [ "ecs.aliyuncs.com" ] } } ], "Version": "1" } 说明 ecs.aliyuncs.com表示允许当前用户的所有ECS实例扮演该RAM角色。 生成实例自定义数据。 具体操作请参见生成实例自定义数据。本文中,创建了一个shell脚本,实现在实例首次启动后向/root/output10.txt文件写入字符串Hello World. The time is now{当前时间}。脚本示例如下: #!/bin/sh echo "Hello World. The time is now $(date -R)!" | tee /root/output10.txt 脚本经过Base64编码后内容如下: IyEvYmluL3NoDQplY2hvICJIZWxsbyBXb3JsZC4gIFRoZSB0aW1lIGlzIG5vdyAkKGRhdGUgLVIpISIgfCB0ZWUgL3Jvb3Qvb3V0cHV0MTAudHh0 步骤二:应用配置项 按照以下步骤创建伸缩组和伸缩配置,并在伸缩配置中应用步骤一中创建的配置项。 创建伸缩组。 具体操作请参见使用自定义伸缩配置创建伸缩组,请注意: 伸缩最小实例数:设为1,在启用伸缩组后即会自动创建一台实例。 组内实例配置信息来源:选择自定义伸缩配置。 网络类型:选择专有网络,并指定专有网络的专有网络ID、虚拟交换机。 创建伸缩组 在伸缩组创建成功对话框中,单击创建伸缩配置。 创建伸缩配置。 具体操作请参见创建伸缩配置,请注意: 基础配置页面中,示例镜像选用Ubuntu 16.04 64位。 系统配置页面中,应用步骤一中创建的标签、密钥对、实例RAM角色和实例自定义数据。 在创建成功对话框中,单击启用配置。 在选用伸缩配置对话框中,单击确定。 在启用伸缩组对话框中,单击确定。 步骤三:验证自定义配置效果 由于步骤二中最小实例数设为1,在启用伸缩组后即会自动创建一台实例,保证伸缩组满足最小实例数的限制。 查看自动创建出的实例。 具体操作请参见查询ECS实例列表。查看实例 在云服务器 ID/名称列中,单击实例ID,查看实例详情。 下图为实例详情,可见伸缩配置中的实例RAM角色和标签配置已生效。查看实例详情 使用SSH密钥对登录实例。 具体操作请参见使用SSH密钥对连接Linux实例。下图为登录成功的效果,可见伸缩配置中的SSH密钥对配置已生效。使用密钥对成功登录实例 运行以下命令查看/root/output10.txt文件内容。 cat /root/output10.txt 下图为文件内容,可见伸缩配置中的实例自定义数据配置已生效。自定义数据配置生效 说明 本文使用的shell脚本比较简单,您可以根据自己的需求定制脚本,在实例启动时自动实现更多功能。

1934890530796658 2020-03-23 09:43:31 0 浏览量 回答数 0

问题

如何配置CIFS服务

云栖大讲堂 2019-12-01 21:16:41 1104 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 创建了存储空间之后,您可以上传任何类型的文件到存储空间中。 前提条件 已创建了存储空间。详情请参见 创建存储空间。 背景信息 您可以通过以下途径上传文件: 通过OSS控制台上传小于5GB的文件。详情请参见以下步骤。 通过SDK或API使用Multipart Upload方法上传大于5GB的文件。详情请参见断点续传。 通过图形化的管理工具ossbrowser上传文件。详情请参见ossbrowser。 操作步骤 登录OSS 管理控制台。 在左侧存储空间列表中,单击您要向其中上传文件的存储空间。 单击文件管理页签。 单击上传文件,打开上传文件对话框。 在目录地址框中,设置文件上传到OSS中的存储路径。 当前目录:将文件上传到当前目录。 指定目录:将文件上传到指定目录。您需要输入目录名称,OSS将自动创建对应的文件夹并将文件上传到该文件夹中。 说明 关于文件夹的说明和操作,请参见新建文件夹。 在文件ACL区域中,选择文件的读写权限。默认为继承所在存储空间的读写权限。 在上传文件区域中,将要上传的一个或多个文件拖拽到此区域;或者单击直接上传,选择一个或多个要上传的文件。 在手机验证对话框中,单击点击获取,输入收到的校验码,然后单击确定。 弹出上传任务对话框,显示上传进度。您也可以单击左侧下方的上传任务查看上传进度。 说明 如果上传的文件与存储空间中已有的文件重名,则会覆盖已有文件。

2019-12-01 23:13:00 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 创建了存储空间之后,您可以上传任何类型的文件到存储空间中。 前提条件 已创建了存储空间。详情请参见 创建存储空间。 背景信息 您可以通过以下途径上传文件: 通过OSS控制台上传小于5GB的文件。详情请参见以下步骤。 通过SDK或API使用Multipart Upload方法上传大于5GB的文件。详情请参见断点续传。 通过图形化的管理工具ossbrowser上传文件。详情请参见ossbrowser。 操作步骤 登录OSS 管理控制台。 在左侧存储空间列表中,单击您要向其中上传文件的存储空间。 单击文件管理页签。 单击上传文件,打开上传文件对话框。 在目录地址框中,设置文件上传到OSS中的存储路径。 当前目录:将文件上传到当前目录。 指定目录:将文件上传到指定目录。您需要输入目录名称,OSS将自动创建对应的文件夹并将文件上传到该文件夹中。 说明 关于文件夹的说明和操作,请参见新建文件夹。 在文件ACL区域中,选择文件的读写权限。默认为继承所在存储空间的读写权限。 在上传文件区域中,将要上传的一个或多个文件拖拽到此区域;或者单击直接上传,选择一个或多个要上传的文件。 在手机验证对话框中,单击点击获取,输入收到的校验码,然后单击确定。 弹出上传任务对话框,显示上传进度。您也可以单击左侧下方的上传任务查看上传进度。 说明 如果上传的文件与存储空间中已有的文件重名,则会覆盖已有文件。

2019-12-01 23:12:59 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 创建了存储空间之后,您可以上传任何类型的文件到存储空间中。 前提条件 已创建了存储空间。详情请参见 创建存储空间。 背景信息 您可以通过以下途径上传文件: 通过OSS控制台上传小于5GB的文件。详情请参见以下步骤。 通过SDK或API使用Multipart Upload方法上传大于5GB的文件。详情请参见断点续传。 通过图形化的管理工具ossbrowser上传文件。详情请参见ossbrowser。 操作步骤 登录OSS 管理控制台。 在左侧存储空间列表中,单击您要向其中上传文件的存储空间。 单击文件管理页签。 单击上传文件,打开上传文件对话框。 在目录地址框中,设置文件上传到OSS中的存储路径。 当前目录:将文件上传到当前目录。 指定目录:将文件上传到指定目录。您需要输入目录名称,OSS将自动创建对应的文件夹并将文件上传到该文件夹中。 说明 关于文件夹的说明和操作,请参见新建文件夹。 在文件ACL区域中,选择文件的读写权限。默认为继承所在存储空间的读写权限。 在上传文件区域中,将要上传的一个或多个文件拖拽到此区域;或者单击直接上传,选择一个或多个要上传的文件。 在手机验证对话框中,单击点击获取,输入收到的校验码,然后单击确定。 弹出上传任务对话框,显示上传进度。您也可以单击左侧下方的上传任务查看上传进度。 说明 如果上传的文件与存储空间中已有的文件重名,则会覆盖已有文件。

2019-12-01 23:12:59 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 创建了存储空间之后,您可以上传任何类型的文件到存储空间中。 前提条件 已创建了存储空间。详情请参见 创建存储空间。 背景信息 您可以通过以下途径上传文件: 通过OSS控制台上传小于5GB的文件。详情请参见以下步骤。 通过SDK或API使用Multipart Upload方法上传大于5GB的文件。详情请参见断点续传。 通过图形化的管理工具ossbrowser上传文件。详情请参见ossbrowser。 操作步骤 登录OSS 管理控制台。 在左侧存储空间列表中,单击您要向其中上传文件的存储空间。 单击文件管理页签。 单击上传文件,打开上传文件对话框。 在目录地址框中,设置文件上传到OSS中的存储路径。 当前目录:将文件上传到当前目录。 指定目录:将文件上传到指定目录。您需要输入目录名称,OSS将自动创建对应的文件夹并将文件上传到该文件夹中。 说明 关于文件夹的说明和操作,请参见新建文件夹。 在文件ACL区域中,选择文件的读写权限。默认为继承所在存储空间的读写权限。 在上传文件区域中,将要上传的一个或多个文件拖拽到此区域;或者单击直接上传,选择一个或多个要上传的文件。 在手机验证对话框中,单击点击获取,输入收到的校验码,然后单击确定。 弹出上传任务对话框,显示上传进度。您也可以单击左侧下方的上传任务查看上传进度。 说明 如果上传的文件与存储空间中已有的文件重名,则会覆盖已有文件。

2019-12-01 23:12:59 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 创建了存储空间之后,您可以上传任何类型的文件到存储空间中。 前提条件 已创建了存储空间。详情请参见 创建存储空间。 背景信息 您可以通过以下途径上传文件: 通过OSS控制台上传小于5GB的文件。详情请参见以下步骤。 通过SDK或API使用Multipart Upload方法上传大于5GB的文件。详情请参见断点续传。 通过图形化的管理工具ossbrowser上传文件。详情请参见ossbrowser。 操作步骤 登录OSS 管理控制台。 在左侧存储空间列表中,单击您要向其中上传文件的存储空间。 单击文件管理页签。 单击上传文件,打开上传文件对话框。 在目录地址框中,设置文件上传到OSS中的存储路径。 当前目录:将文件上传到当前目录。 指定目录:将文件上传到指定目录。您需要输入目录名称,OSS将自动创建对应的文件夹并将文件上传到该文件夹中。 说明 关于文件夹的说明和操作,请参见新建文件夹。 在文件ACL区域中,选择文件的读写权限。默认为继承所在存储空间的读写权限。 在上传文件区域中,将要上传的一个或多个文件拖拽到此区域;或者单击直接上传,选择一个或多个要上传的文件。 在手机验证对话框中,单击点击获取,输入收到的校验码,然后单击确定。 弹出上传任务对话框,显示上传进度。您也可以单击左侧下方的上传任务查看上传进度。 说明 如果上传的文件与存储空间中已有的文件重名,则会覆盖已有文件。

2019-12-01 23:13:00 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 创建了存储空间之后,您可以上传任何类型的文件到存储空间中。 前提条件 已创建了存储空间。详情请参见 创建存储空间。 背景信息 您可以通过以下途径上传文件: 通过OSS控制台上传小于5GB的文件。详情请参见以下步骤。 通过SDK或API使用Multipart Upload方法上传大于5GB的文件。详情请参见断点续传。 通过图形化的管理工具ossbrowser上传文件。详情请参见ossbrowser。 操作步骤 登录OSS 管理控制台。 在左侧存储空间列表中,单击您要向其中上传文件的存储空间。 单击文件管理页签。 单击上传文件,打开上传文件对话框。 在目录地址框中,设置文件上传到OSS中的存储路径。 当前目录:将文件上传到当前目录。 指定目录:将文件上传到指定目录。您需要输入目录名称,OSS将自动创建对应的文件夹并将文件上传到该文件夹中。 说明 关于文件夹的说明和操作,请参见新建文件夹。 在文件ACL区域中,选择文件的读写权限。默认为继承所在存储空间的读写权限。 在上传文件区域中,将要上传的一个或多个文件拖拽到此区域;或者单击直接上传,选择一个或多个要上传的文件。 在手机验证对话框中,单击点击获取,输入收到的校验码,然后单击确定。 弹出上传任务对话框,显示上传进度。您也可以单击左侧下方的上传任务查看上传进度。 说明 如果上传的文件与存储空间中已有的文件重名,则会覆盖已有文件。

2019-12-01 23:12:59 0 浏览量 回答数 0
阿里云大学 云服务器ECS com域名 网站域名whois查询 开发者平台 小程序定制 小程序开发 国内短信套餐包 开发者技术与产品 云数据库 图像识别 开发者问答 阿里云建站 阿里云备案 云市场 万网 阿里云帮助文档 免费套餐 开发者工具 云栖号物联网 小程序开发制作 视频内容分析 企业网站制作 视频集锦 代理记账服务 2020阿里巴巴研发效能峰会 企业建站模板 云效成长地图 高端建站 云栖号弹性计算 阿里云云栖号 云栖号案例 云栖号直播