阻止创建公共读或者公共读写的Bucket_对象存储(OSS)-阿里云帮助中心

鉴于公共读Bucket允许任何人（包括匿名访问者）对该Bucket中的文件进行读操作，公共读写Bucket允许任何人（包括匿名访问者）对该Bucket内文件进行读写操作。如果Bucket设置了公共读或者公共读写权限，会引发数据泄露以及增加数据安全风险。为保护您的数据安全，建议通过阻止公共访问或者配置RAM Policy的方式阻止用户创建公共读或公共读写权限的Bucket。

使用场景

限制类型	使用场景
阻止阿里云账号以及关联的所有RAM用户创建公共读或者公共读写的Bucket	高度敏感数据存储：如果您的OSS需要存储高度敏感的数据，例如个人隐私信息、企业核心数据等，应严格限制所有形式的公共访问，需要从源头上阻止创建可公开访问的Bucket，以避免数据泄露。合规性要求：某些行业标准或法规可能要求对数据访问有严格的控制，不允许任何资源直接对外公开。多用户环境下的严格权限管理：当某个阿里云账号下有多个RAM用户且这些RAM用户负责不同项目或部门时，限制所有RAM用户创建公共Bucket可以避免因个人错误配置导致的安全风险。
阻止指定的RAM用户创建公共读或者公共读写的Bucket	核心团队管理：如果阿里云账号由核心团队直接管理，并且团队成员对安全策略有深入理解，此时可以考虑仅阻止指定RAM用户创建公共读或者公共读写的Bucket。采用该限制方式，一方面保护了数据安全，另一方面为核心团队权限管理保留了灵活性。特定RAM用户权限管控：在一些场景下，可能只希望特定的RAM用户不能创建公共读或者公共读写的Bucket，而内部员工或高级管理员仍需此权限以应对特定需求。

阻止阿里云账号以及关联的所有RAM用户创建公共读或者公共读写的Bucket

您可以通过为OSS全局开启阻止公共访问的方式，阻止当前阿里云账号以及关联的所有RAM用户创建公共读以及公共读写的Bucket。具体步骤如下：

登录OSS管理控制台。
在左侧导航栏，选择数据服务 > 阻止公共访问。
在阻止公共访问页面，开启阻止公共访问，然后按照页面指引完成开启操作。

重要

为OSS全局开启阻止公共访问后，不允许创建具有公共访问权限的新Bucket，且已有Bucket配置的公共访问权限也会被忽略。即无论是新创建还是已有的Bucket，Bucket内的数据均不允许公共访问。

阻止指定的RAM用户创建公共读或者公共读写的Bucket

您可以通过阿里云账号为指定的RAM用户配置RAM Policy的方式，阻止指定的RAM用户创建公共读以及公共读写的Bucket。具体步骤如下：

通过脚本编辑模式创建以下RAM Policy。具体步骤，请参见通过脚本编辑模式创建自定义权限策略。

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "oss:PutBucket"
      ],
      "Resource": [
        "acs:oss:*:*:*"
      ],
      "Condition": {
        "StringLike": {
          "oss:x-oss-acl": [
            "public-read",
            "public-read-write"
          ]
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "oss:PutBucket"
      ],
      "Resource": [
        "acs:oss:*:*:*"
      ]
    }
  ]
}

为RAM用户授予以上创建的RAM Policy。具体步骤，请参见为RAM用户授权。

使用场景

阻止阿里云账号以及关联的所有RAM用户创建公共读或者公共读写的Bucket

阻止指定的RAM用户创建公共读或者公共读写的Bucket

相关文档