如何对OSS进行访问权限控制

概述

本文主要介绍如何对阿里云对象存储OSS进行访问权限控制，使OSS资源访问更加安全。

详细信息

OSS提供多种方式将OSS资源权限授予给其他用户，您可以使用以下几种机制来控制对OSS资源访问的权限，从而确保数据安全。

• 设置存储空间ACL：通过访问控制列表（ACL）给存储空间和对象授予访问权限，包括公共读写、公共读、私有。
• 设置文件ACL：用以控制Object的访问权限，您可以在上传Object时设置相应的ACL，也可以在Object上传后的任意时间内根据自己的业务需求随时修改ACL。
• Bucket Policy：通过控制台的Bucket Policy功能方便直观地授权其他用户访问您的OSS资源，例如向其他账号的RAM用户授予访问权限，以及向匿名用户授予带特定IP条件限制的访问权限。
• RAM Policy：构建RAM Policy来控制存储空间和文件夹的访问权限。OSS提供了RAM策略编辑器帮助您快速生成RAM Policy。实践教程示例如下：
  • 使用RAM Policy控制OSS的访问权限
  • 基于RAM角色实现跨账号访问OSS
• 使用STS临时访问凭证访问OSS：使用阿里云STS（Security Token Service）给第三方应用或子用户授予一个可自定义时效的临时访问权限。
• 防盗链：对访问来源设置白名单，避免OSS资源被其他人盗用。

相关文档

在设置访问权限后，访问OSS资源时存在AccessDenied报错，或无法访问公共读的Object，请参见以下文档进行处理：

• OSS匿名用户无法访问公共读Object的解决办法
• OSS权限相关常见错误的排查方法

适用于

• 对象存储OSS