如何实现通过HTTPS方式访问对象存储OSS资源

概述

阿里云对象存储OSS支持用户使用HTTPS和HTTP协议访问OSS的Bucket资源,但由于HTTP访问存在安全漏洞,为防止OSS遭受攻击,需要使用HTTPS方式访问OSS资源。本文主要介绍如何实现通过HTTPS方式访问OSS资源。

详细信息

实现通过HTTPS访问OSS资源有多种方法,可根据实际环境,选择以下方法进行HTTPS访问:

重要
  • 如果您对实例或数据有修改、变更等风险操作,务必注意实例的容灾、容错能力,确保数据安全。

  • 如果您对实例(包括但不限于ECS、RDS)等进行配置与数据修改,建议提前创建快照或开启RDS日志备份等功能。

  • 如果您在阿里云平台授权或者提交过登录账号、密码等安全信息,建议您及时修改。

通过OSS自有域名方式

OSS服务提供的自有域名支持HTTPS方式访问,您可以通过登录OSS管理控制台,在Bucket列表中,单击Bucket名称,然后单击概览,在访问端口区域查看Bucket的域名和HTTPS支持情况。

测试访问URL的效果如下。

说明

OSS提供的自有域名目前是有限制的,对于图片、静态HTML资源访问会直接变成下载的方式,不支持在线预览,建议绑定自定义域名。

通过Bucket绑定自定义域名方式

OSS提供了Bucket绑定自有域名功能,绑定域名后通过自己的域名来进行访问。具体操作,请参见绑定域名。您也可以对于绑定的域名设置证书托管从而实现支持HTTPS方式访问。关于如何进行配置证书托管,请参见托管证书

说明

如果您需要强制Bucket内资源的所有请求访问方式为其中一种,例如HTTPS,您需要通过策略语法的方式来实现。具体设置方法,请参见如何配置HTTPS请求和证书

通过CDN加速OSS方式

CDN加速本身提供了HTTPS的配置方式,所以也可以通过CDN加速配置加速OSS资源,配置加速域名证书的方式来间接实现HTTPS的访问。

通过反向代理方式

在ECS实例中安装Nginx服务,通过反向代理的方式实现HTTPS访问。更多信息,请参见基于CentOS的ECS实例实现OSS反向代理

HTTPS访问异常排查

通过HTTPS访问OSS资源异常的排查方法如下:

  1. 排查证书是否异常,如截图所示,查看浏览器解析的证书是否匹配,特别是在OSS自有域名和CDN加速OSS的域名访问中,需要注意证书和域名匹配的情况。

  2. 通过浏览器访问出现链接被终止的错误信息,您需要检查域名是否配置HTTPS证书,然后再使用telnet命令测试443端口的连通性,确认可以连接。

相关文档

如果需要授权用户通过HTTPS访问指定资源,请参见通过Bucket Policy授权用户访问指定资源