如何限制用戶僅通過HTTPS方式訪問OSS

這篇文章主要介紹“如何限制用戶僅通過HTTPS方式訪問OSS”,在日常操作中,相信很多人在如何限制用戶僅通過HTTPS方式訪問OSS問題上存在疑惑,小編查閱了各式資料,整理出簡(jiǎn)單好用的操作方法,希望對(duì)大家解答”如何限制用戶僅通過HTTPS方式訪問OSS”的疑惑有所幫助!接下來(lái),請(qǐng)跟著小編一起來(lái)學(xué)習(xí)吧!

為察雅等地區(qū)用戶提供了全套網(wǎng)頁(yè)設(shè)計(jì)制作服務(wù),及察雅網(wǎng)站建設(shè)行業(yè)解決方案。主營(yíng)業(yè)務(wù)為成都網(wǎng)站設(shè)計(jì)、做網(wǎng)站、察雅網(wǎng)站設(shè)計(jì),以傳統(tǒng)方式定制建設(shè)網(wǎng)站,并提供域名空間備案等一條龍服務(wù),秉承以專業(yè)、用心的態(tài)度為用戶提供真誠(chéng)的服務(wù)。我們深信只要達(dá)到每一位用戶的要求,就會(huì)得到認(rèn)可,從而選擇與我們長(zhǎng)期合作。這樣,我們也可以走得更遠(yuǎn)!

一、當(dāng)前存在的問題

  當(dāng)前OSS支持用戶使用HTTPS/HTTP協(xié)議訪問Bucket。但由于HTTP存在安全漏洞。大型企業(yè)客戶都要求使用HTTPS方式訪問OSS,并且拒絕HTTP訪問請(qǐng)求。

  目前OSS可以通過RAM policy方式實(shí)現(xiàn):限制某個(gè)用戶、角色拒絕通過HTTP協(xié)議訪問指定的Bucket和對(duì)象。但是RAM Policy是一種基于用戶的授權(quán)方式,無(wú)法針對(duì)資源進(jìn)行授權(quán)。也就是說(shuō)無(wú)法針對(duì)Bucket或者對(duì)象級(jí)別,拒絕所有用戶的HTTP請(qǐng)求。目前我們正在基于Bucket Policy開發(fā)該功能,后續(xù)用戶可以直接通過Bucket Policy設(shè)置HTTPS訪問策略。

二、通過RAM Policy實(shí)現(xiàn)“限制用戶僅通過HTTPS方式訪問OSS”

  阿里云RAM Policy有豐富的Condition參數(shù),可以限制對(duì)資源的訪問。這里我們利用"Secure Transport"條件參數(shù)生成RAM Policy,以實(shí)現(xiàn)拒絕指定的用戶通過HTTP方式訪問Bucket。

Condition功能合法取值
acs:SecureTransport是否是https協(xié)議“true”或者”false”

2.1RAM Policy示例

  • 為了簡(jiǎn)化配置,我們事先給賬號(hào)賦予“AliyunOSSFullAccess”,然后模擬拒絕一切通過HTTP的請(qǐng)求。

  • 添加“拒絕HTTP訪問請(qǐng)求”RAM Policy。具體RAM Policy內(nèi)容如下:

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "oss:*"
      ],
      "Resource": [
        "acs:oss:*:*:*"
      ],
      "Condition": {
        "Bool": {
          "acs:SecureTransport": [
            "false"
          ]
        }
      }
    }
  ]
}

說(shuō)明::如上Policy能夠拒絕該用戶通過HTTP方式訪問OSS資源;

2.2用戶通過HTTPS方式訪問OSS進(jìn)行測(cè)試

說(shuō)明:

  • 我們以Python SDK上傳文件方式進(jìn)行舉例說(shuō)明;

  • 如下我們?cè)谀_本中指定訪問路徑為"https://oss-cn-beijing.aliyunc.com" ;

2.2.1通過HTTPS方式上傳文件

  • python腳本示例如下:

# -*- coding: utf-8 -*-
import oss2

# 阿里云主賬號(hào)AccessKey擁有所有API的訪問權(quán)限,風(fēng)險(xiǎn)很高。強(qiáng)烈建議您創(chuàng)建并使用RAM賬號(hào)進(jìn)行API訪問或日常運(yùn)維,請(qǐng)登錄 https://ram.console.aliyun.com 創(chuàng)建RAM賬號(hào)。
auth = oss2.Auth('<yourAccessKeyId>', '<yourAccessKeySecret>')
# Endpoint以杭州為例,其它Region請(qǐng)按實(shí)際情況填寫。
bucket = oss2.Bucket(auth, 'https://oss-cn-beijing.aliyuncs.com', 'test-beijing-2018')

# <yourLocalFile>由本地文件路徑加文件名包括后綴組成,例如/users/local/myfile.txt
bucket.put_object_from_file('02.txt', '002.txt')

  • 執(zhí)行結(jié)果如下

root@shanghai-02:~/figo# python putobject.py
2019-01-10 20:55:37,003 oss2.api [INFO] 140496922879744 : Init oss bucket, endpoint: https://oss-cn-beijing.aliyuncs.com, isCname: False, connect_timeout: None, app_name: , enabled_crc: True
2019-01-10 20:55:37,008 oss2.api [INFO] 140496922879744 : Put object from file, bucket: test-beijing-2018, key: 02.txt, file path: 002.txt
2019-01-10 20:55:37,009 oss2.api [INFO] 140496922879744 : Start to put object, bucket: test-beijing-2018, key: 02.txt, headers: {'Content-Type': 'text/plain'}
2019-01-10 20:55:37,212 oss2.api [INFO] 140496922879744 : Put object done, req_id: 5C3740C952FF5BAFB298BDDA, status_code: 200

說(shuō)明:如上執(zhí)行結(jié)果,表明文件已經(jīng)上傳成功;

2.2.2通過HTTP方式上傳文件

說(shuō)明:如下我們?cè)谀_本中指定訪問路徑為“http://oss-cn-beijing.aliyuncs.com”

  • python腳本示例如下:

# -*- coding: utf-8 -*-
import oss2

# 阿里云主賬號(hào)AccessKey擁有所有API的訪問權(quán)限,風(fēng)險(xiǎn)很高。強(qiáng)烈建議您創(chuàng)建并使用RAM賬號(hào)進(jìn)行API訪問或日常運(yùn)維,請(qǐng)登錄 https://ram.console.aliyun.com 創(chuàng)建RAM賬號(hào)。
auth = oss2.Auth('<yourAccessKeyId>', '<yourAccessKeySecret>')
# Endpoint以杭州為例,其它Region請(qǐng)按實(shí)際情況填寫。
bucket = oss2.Bucket(auth, 'http://oss-cn-beijing.aliyuncs.com', 'test-beijing-2018')

# <yourLocalFile>由本地文件路徑加文件名包括后綴組成,例如/users/local/myfile.txt
bucket.put_object_from_file('02.txt', '002.txt')

  • 執(zhí)行結(jié)果如下

root@shanghai-02:~/figo# python  putobject.py
2019-01-10 21:14:37,499 oss2.api [INFO] 140697781880576 : Init oss bucket, endpoint: http://oss-cn-beijing.aliyuncs.com, isCname: False, connect_timeout: None, app_name: , enabled_crc: True
2019-01-10 21:14:37,501 oss2.api [INFO] 140697781880576 : Put object from file, bucket: test-beijing-2018, key: 02.txt, file path: 002.txt
2019-01-10 21:14:37,503 oss2.api [INFO] 140697781880576 : Start to put object, bucket: test-beijing-2018, key: 02.txt, headers: {'Content-Type': 'text/plain'}
2019-01-10 21:14:37,585 oss2.api [ERROR] 140697781880576 : Exception: {'status': 403, 'x-oss-request-id': '5C37453DDF97EBEDF4BDA095', 'details': {'HostId': 'test-beijing-2018.oss-cn-beijing.aliyuncs.com', 'Message': 'You have no right to access this object because of bucket acl.', 'Code': 'AccessDenied', 'RequestId': '5C37453DDF97EBEDF4BDA095'}}
Traceback (most recent call last):
  File "putobject.py", line 10, in <module>
    bucket.put_object_from_file('02.txt', '002.txt')
  File "build/bdist.linux-x86_64/egg/oss2/api.py", line 481, in put_object_from_file
  File "build/bdist.linux-x86_64/egg/oss2/api.py", line 453, in put_object
  File "build/bdist.linux-x86_64/egg/oss2/api.py", line 1579, in __do_object
  File "build/bdist.linux-x86_64/egg/oss2/api.py", line 210, in _do
oss2.exceptions.AccessDenied: {'status': 403, 'x-oss-request-id': '5C37453DDF97EBEDF4BDA095', 'details': {'HostId': 'test-beijing-2018.oss-cn-beijing.aliyuncs.com', 'Message': 'You have no right to access this object because of bucket acl.', 'Code': 'AccessDenied', 'RequestId': '5C37453DDF97EBEDF4BDA095'}}

說(shuō)明

  • 當(dāng)我們將上傳endpoint設(shè)置為"http://oss-cn-beijing.aliyuncs.com" 時(shí),上傳文件失敗。說(shuō)明RAM Policy已經(jīng)生效;

  • 目前RAM Policy僅能限制指定的用戶通過HTTPS方式訪問。下一步OSS將在Bucket Policy中設(shè)置"Secure Transport"參數(shù),以實(shí)現(xiàn)限制所有用戶通過HTTP方式訪問指定的Bucket和對(duì)象;

到此,關(guān)于“如何限制用戶僅通過HTTPS方式訪問OSS”的學(xué)習(xí)就結(jié)束了,希望能夠解決大家的疑惑。理論與實(shí)踐的搭配能更好的幫助大家學(xué)習(xí),快去試試吧!若想繼續(xù)學(xué)習(xí)更多相關(guān)知識(shí),請(qǐng)繼續(xù)關(guān)注創(chuàng)新互聯(lián)網(wǎng)站,小編會(huì)繼續(xù)努力為大家?guī)?lái)更多實(shí)用的文章!

本文題目:如何限制用戶僅通過HTTPS方式訪問OSS
本文鏈接:http://muchs.cn/article42/ihsehc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供網(wǎng)站設(shè)計(jì)公司、建站公司網(wǎng)站內(nèi)鏈、網(wǎng)站制作、品牌網(wǎng)站建設(shè)網(wǎng)站導(dǎo)航

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源: 創(chuàng)新互聯(lián)

成都app開發(fā)公司