OSS私有Bucket回源

如果加速域名的源站使用的是阿里云的云存储OSS,并且OSS的Bucket被配置为私有模式,可以起到访问鉴权的作用,避免非授权的请求盗刷流量,该情况下您需要给加速域名开启OSS私有Bucket回源功能。本文为您介绍如何开启和关闭私有Bucket回源。

背景信息

您可以配合使用阿里云DCDN提供的Referer防盗链功能、URL鉴权功能,来更有效地保护您的资源不被盗刷,更多信息,请参见配置Referer防盗链配置URL鉴权

重要
  • 首次使用该功能时,需要进行默认权限策略的一键开启操作,开启后将会授予DCDN产品对您同账号下OSS产品的所有Bucket的只读访问权限(默认的访问权限使用STS临时令牌来访问OSS Bucket,不支持通过该功能对OSS Bucket进行PUT等写入或删除操作)。

  • 如果您选择配置永久安全令牌,则需要在申请令牌的时候,限制该令牌对OSS Bucket进行PUT等写入或者删除操作的权限。配置RAM用户访问OSS的权限请参见以RAM用户的方式访问OSS

  • 授权成功并开启了加速域名的私有Bucket回源功能之后,您可以通过该加速域名访问您的私有Bucket内的所有资源。因此,开启该功能前,请根据您的实际业务情况谨慎决策。如果您授权的私有Bucket内容并不适合作为DCDN加速的回源内容,请勿授权或开启此功能。

  • 如果您的网站有被攻击的风险,请购买高防服务,同时谨慎授权或开启私有Bucket回源授权功能。

  • DCDN回源OSS私有Bucket功能与OSS的静态网站托管功能的默认首页配置存在冲突,两个功能需要同时使用的情况下,请参见说明文档

  • 开启了私有Bucket回源功能之后,DCDN节点将会在回源请求中添加一个名称为“Authorization”的Header,其值为OSS私有Bucket鉴权签名信息。需要注意,回源OSS的单个请求不能同时在Header以及URL请求参数中均携带签名,如果在回源请求中携带了Authorization请求头的同时,又在URL中携带了用于签名认证的参数(通常由客户端生成),例如ExpiresSignatureOSSAccessKeyId等,那么将会导致OSS鉴权失败,详细说明请参见说明文档

开启私有Bucket回源

  1. 登录DCDN控制台

  2. 在左侧导航栏,单击域名管理

  3. 域名管理页面,单击目标域名对应的配置

  4. 在指定域名的左侧导航栏,单击回源配置

  5. 可选:您首次授权时,需要执行该步骤,在私有Bucket回源区域,单击点击授权,继续单击同意授权

    同意授权

  6. 私有Bucket回源区域,打开私有Bucket回源开关。

    说明

    当DCDN回源OSS私有Bucket访问非加密文件时,完成以上配置即可正常访问文件。如果您在OSS上对文件进行了KMS加密,此时将无法直接访问,需要为AliyunCDNAccessingPrivateOSSRole角色添加AliyunKMSCryptoUserAccess权限才能正常访问文件。

  7. 在弹出的阿里云OSS私有Bucket回源对话框中,选择回源类型,单击确定

    image

    参数

    说明

    回源类型

    • 同账号回源:系统会自动配置STS安全令牌,配置更简单,但仅支持DCDN域名回源到同一个阿里云账号下的OSS私有Bucket。

    • 跨账号回源或同账号回源:需要配置永久安全令牌,除了支持DCDN域名回源到同一个阿里云账号下的OSS私有Bucket,还支持DCDN域名回源到另外一个阿里云账号下的OSS私有Bucket。

    AccessKey ID

    回源目标OSS私有Bucket所属阿里云账号的AccessKey ID,具体请参见创建AccessKey

    AccessKey Secret

    回源目标OSS私有Bucket所属阿里云账号的AccessKey Secret。

  8. AliyunCDNAccessingPrivateOSSRole角色添加AliyunKMSCryptoUserAccess权限。

    1. 登录RAM控制台

    2. 在左侧导航栏,选择身份管理 > 角色

    3. 角色名称列表下,找到AliyunCDNAccessingPrivateOSSRole角色。

    4. 单击新增权限授权主体会自动填入。

    5. 系统策略下搜索AliyunKMSCryptoUserAccess,并单击AliyunKMSCryptoUserAccess,会添加到已选择列表。

    6. 单击确认新增授权,显示已完成。

    7. 单击关闭

关闭私有Bucket回源

如果您不希望加速域名能够访问您私有Bucket内资源的权限,您可以通过访问控制RAM(Resource Access Management)控制台,取消对应角色名称的授权,关闭私有Bucket回源功能。

  1. 登录RAM控制台

  2. 在左侧导航栏,单击身份管理 > 角色

  3. 角色名称列表下,单击AliyunCDNAccessingPrivateOSSRole角色。

    image

  4. 移除角色AliyunCDNAccessingPrivateOSSRole中的所有权限。

    1. 单击权限对应的解除授权

    2. 解除授权的确认对话框中,单击解除授权

  5. 返回身份管理 > 角色页面,删除AliyunCDNAccessingPrivateOSSRole角色。

    1. 单击AliyunCDNAccessingPrivateOSSRole角色对应的删除角色

    2. 删除角色的确认对话框中,输入对应的角色名称单击删除角色