默认情况下,OSS资源(包括Bucket和Object)默认为私有权限。只有资源拥有者或被授权的用户可以访问这些资源。您可以通过多种权限控制策略授权他人访问或使用您的OSS资源。只有通过OSS鉴权,才能访问授权资源。
请求类型
请求类型分为非匿名请求和匿名请求两种。
非匿名请求
在请求头部或在请求URL中携带和身份相关的签名信息。
匿名请求
在请求头部或在请求URL中未携带任何和身份相关的信息。
非匿名请求鉴权
鉴权说明
收到用户非匿名请求时,OSS会通过身份验证、基于角色的会话策略、基于身份的策略(RAM Policy)、Bucket Policy、Object ACL、Bucket ACL等鉴权结果来判断是允许或拒绝该请求。
以上鉴权流程包含的权限状态说明如下:
Allow:允许访问请求,即比对Policy命中了Allow规则。
Explicit Deny:显式拒绝访问请求,即比对Policy命中了Deny规则。
Implicit Deny:隐式拒绝访问请求,即Policy不存在、比对Policy未命中Allow或Deny规则。
鉴权流程
带身份验证的鉴权流程如下:
检查身份验证是否成功。
收到用户请求后,OSS会对请求携带的签名和服务端计算的签名进行比对。
不匹配:拒绝访问。
匹配:判断是否为基于角色的会话策略。
判断是否为基于角色的会话策略。
是:OSS对Session Policy进行权限比对。
Explicit Deny或Implicit Deny:拒绝访问。
Allow:继续检查RAM Policy和Bucket Policy。
否:继续检查RAM Policy和Bucket Policy。
检查RAM Policy和Bucket Policy。
RAM Policy是基于身份的策略。您可以使用RAM Policy控制用户可以访问您名下哪些资源的权限。对于用户级别的访问,需要根据请求的账号类别判断允许或拒绝访问请求。
阿里云账号AccessKey:直接返回Implicit Deny。
RAM用户AccessKey或STS的AccessKey:Bucket不属于阿里云账号或者RAM角色Owner 时,直接返回Implicit Deny。
RAM服务鉴权接口对普通请求进行身份鉴权:Allow、Explicit Deny或Implicit Deny。
Bucket Policy是基于资源的授权策略,Bucket Owner可以通过Bucket Policy为RAM用户或其他账号授权Bucket或Bucket内资源精确的操作权限。
未设置:直接返回Implicit Deny。
设置:返回结果为Allow、Explicit Deny或Implicit Deny。
检查合并结果中是否存在Explicit Deny策略。
存在Explicit Deny:拒绝访问。
不存在Explicit Deny:检查是否存在Allow策略。
检查RAM Policy或Bucket Policy中是否存在Allow策略。
存在:允许访问。
不存在:判断请求来源。
判断请求来源。
管控类API请求:拒绝访问。
数据类API请求:继续进行Object ACL或Bucket ACL的鉴权。
管控类API请求包括Service操作(GetService (ListBuckets))、Bucket相关操作(例如PutBucket、GetBucketLifecycle等)、LiveChannel相关操作(例如PutLiveChannel、DeleteLiveChannel等)。
数据类API请求包括Object相关操作,例如PutObject、GetObject等。
鉴权Object ACL和Bucket ACL。
根据Object ACL进行鉴权时,需要结合请求用户是否为Bucket Owner以及请求类型为读请求或写请求进行判断。
Allow:允许访问。
Deny:拒绝访问。
如果Object ACL为继承Bucket,则继续检查Bucket ACL。
根据Bucket ACL进行鉴权时,需要结合请求用户是否为Bucket Owner进行判断。
Allow:允许访问。
Deny:拒绝访问。
匿名请求鉴权
鉴权说明
收到用户匿名请求时,OSS会跳过身份验证、基于角色的会话策略、RAM Policy等鉴权步骤,只根据Bucket Policy、Object ACL以及Bucket ACL进行鉴权。
鉴权流程
匿名请求鉴权流程如下:
检查Bucket Policy。
Deny:拒绝访问。
Allow:允许访问。
Ignore:继续检查Object ACL。
检查Object ACL和Bucket ACL。
如果Object ACL为私有:Deny,拒绝访问。
如果Object ACL为公共读或公共读写:Allow,允许访问。
如果Object ACL为继承Bucket,则继续检查Bucket ACL。
如果Bucket ACL为公共读或公共读写:Allow,允许访问。
如果Bucket ACL为私有:Deny,拒绝访问。
- 本页导读 (1)
- 请求类型
- 非匿名请求鉴权
- 鉴权说明
- 鉴权流程
- 匿名请求鉴权
- 鉴权说明
- 鉴权流程