這篇文章主要介紹“如何限制用戶僅通過HTTPS方式訪問OSS”�,在日常操作中,相信很多人在如何限制用戶僅通過HTTPS方式訪問OSS問題上存在疑惑,小編查閱了各式資料�,整理出簡單好用的操作方法���,希望對大家解答”如何限制用戶僅通過HTTPS方式訪問OSS”的疑惑有所幫助��!接下來��,請跟著小編一起來學(xué)習(xí)吧��!
為察雅等地區(qū)用戶提供了全套網(wǎng)頁設(shè)計(jì)制作服務(wù)��,及察雅網(wǎng)站建設(shè)行業(yè)解決方案����。主營業(yè)務(wù)為成都網(wǎng)站設(shè)計(jì)����、做網(wǎng)站、察雅網(wǎng)站設(shè)計(jì)�����,以傳統(tǒng)方式定制建設(shè)網(wǎng)站�����,并提供域名空間備案等一條龍服務(wù)�����,秉承以專業(yè)、用心的態(tài)度為用戶提供真誠的服務(wù)���。我們深信只要達(dá)到每一位用戶的要求��,就會得到認(rèn)可���,從而選擇與我們長期合作。這樣��,我們也可以走得更遠(yuǎn)��!
一����、當(dāng)前存在的問題
當(dāng)前OSS支持用戶使用HTTPS/HTTP協(xié)議訪問Bucket。但由于HTTP存在安全漏洞��。大型企業(yè)客戶都要求使用HTTPS方式訪問OSS�����,并且拒絕HTTP訪問請求��。
目前OSS可以通過RAM policy方式實(shí)現(xiàn):限制某個(gè)用戶����、角色拒絕通過HTTP協(xié)議訪問指定的Bucket和對象��。但是RAM Policy是一種基于用戶的授權(quán)方式����,無法針對資源進(jìn)行授權(quán)���。也就是說無法針對Bucket或者對象級別���,拒絕所有用戶的HTTP請求。目前我們正在基于Bucket Policy開發(fā)該功能���,后續(xù)用戶可以直接通過Bucket Policy設(shè)置HTTPS訪問策略。
二��、通過RAM Policy實(shí)現(xiàn)“限制用戶僅通過HTTPS方式訪問OSS”
阿里云RAM Policy有豐富的Condition參數(shù)�,可以限制對資源的訪問。這里我們利用"Secure Transport"條件參數(shù)生成RAM Policy����,以實(shí)現(xiàn)拒絕指定的用戶通過HTTP方式訪問Bucket。
| Condition | 功能 | 合法取值 | | acs:SecureTransport | 是否是https協(xié)議 | “true”或者”false” |
2.1RAM Policy示例
{
"Version": "1",
"Statement": [
{
"Effect": "Deny",
"Action": [
"oss:*"
],
"Resource": [
"acs:oss:*:*:*"
],
"Condition": {
"Bool": {
"acs:SecureTransport": [
"false"
]
}
}
}
]
}說明::如上Policy能夠拒絕該用戶通過HTTP方式訪問OSS資源;
2.2用戶通過HTTPS方式訪問OSS進(jìn)行測試
說明:
2.2.1通過HTTPS方式上傳文件
# -*- coding: utf-8 -*-
import oss2
# 阿里云主賬號AccessKey擁有所有API的訪問權(quán)限,風(fēng)險(xiǎn)很高�。強(qiáng)烈建議您創(chuàng)建并使用RAM賬號進(jìn)行API訪問或日常運(yùn)維,請登錄 https://ram.console.aliyun.com 創(chuàng)建RAM賬號�。
auth = oss2.Auth('', '')
# Endpoint以杭州為例,其它Region請按實(shí)際情況填寫�����。
bucket = oss2.Bucket(auth, 'https://oss-cn-beijing.aliyuncs.com', 'test-beijing-2018')
# 由本地文件路徑加文件名包括后綴組成���,例如/users/local/myfile.txt
bucket.put_object_from_file('02.txt', '002.txt')root@shanghai-02:~/figo# python putobject.py
2019-01-10 20:55:37,003 oss2.api [INFO] 140496922879744 : Init oss bucket, endpoint: https://oss-cn-beijing.aliyuncs.com, isCname: False, connect_timeout: None, app_name: , enabled_crc: True
2019-01-10 20:55:37,008 oss2.api [INFO] 140496922879744 : Put object from file, bucket: test-beijing-2018, key: 02.txt, file path: 002.txt
2019-01-10 20:55:37,009 oss2.api [INFO] 140496922879744 : Start to put object, bucket: test-beijing-2018, key: 02.txt, headers: {'Content-Type': 'text/plain'}
2019-01-10 20:55:37,212 oss2.api [INFO] 140496922879744 : Put object done, req_id: 5C3740C952FF5BAFB298BDDA, status_code: 200說明:如上執(zhí)行結(jié)果�,表明文件已經(jīng)上傳成功���;
2.2.2通過HTTP方式上傳文件
說明:如下我們在腳本中指定訪問路徑為“http://oss-cn-beijing.aliyuncs.com”
# -*- coding: utf-8 -*-
import oss2
# 阿里云主賬號AccessKey擁有所有API的訪問權(quán)限�����,風(fēng)險(xiǎn)很高���。強(qiáng)烈建議您創(chuàng)建并使用RAM賬號進(jìn)行API訪問或日常運(yùn)維����,請登錄 https://ram.console.aliyun.com 創(chuàng)建RAM賬號�。
auth = oss2.Auth('', '')
# Endpoint以杭州為例,其它Region請按實(shí)際情況填寫�。
bucket = oss2.Bucket(auth, 'http://oss-cn-beijing.aliyuncs.com', 'test-beijing-2018')
# 由本地文件路徑加文件名包括后綴組成,例如/users/local/myfile.txt
bucket.put_object_from_file('02.txt', '002.txt')root@shanghai-02:~/figo# python putobject.py
2019-01-10 21:14:37,499 oss2.api [INFO] 140697781880576 : Init oss bucket, endpoint: http://oss-cn-beijing.aliyuncs.com, isCname: False, connect_timeout: None, app_name: , enabled_crc: True
2019-01-10 21:14:37,501 oss2.api [INFO] 140697781880576 : Put object from file, bucket: test-beijing-2018, key: 02.txt, file path: 002.txt
2019-01-10 21:14:37,503 oss2.api [INFO] 140697781880576 : Start to put object, bucket: test-beijing-2018, key: 02.txt, headers: {'Content-Type': 'text/plain'}
2019-01-10 21:14:37,585 oss2.api [ERROR] 140697781880576 : Exception: {'status': 403, 'x-oss-request-id': '5C37453DDF97EBEDF4BDA095', 'details': {'HostId': 'test-beijing-2018.oss-cn-beijing.aliyuncs.com', 'Message': 'You have no right to access this object because of bucket acl.', 'Code': 'AccessDenied', 'RequestId': '5C37453DDF97EBEDF4BDA095'}}
Traceback (most recent call last):
File "putobject.py", line 10, in
bucket.put_object_from_file('02.txt', '002.txt')
File "build/bdist.linux-x86_64/egg/oss2/api.py", line 481, in put_object_from_file
File "build/bdist.linux-x86_64/egg/oss2/api.py", line 453, in put_object
File "build/bdist.linux-x86_64/egg/oss2/api.py", line 1579, in __do_object
File "build/bdist.linux-x86_64/egg/oss2/api.py", line 210, in _do
oss2.exceptions.AccessDenied: {'status': 403, 'x-oss-request-id': '5C37453DDF97EBEDF4BDA095', 'details': {'HostId': 'test-beijing-2018.oss-cn-beijing.aliyuncs.com', 'Message': 'You have no right to access this object because of bucket acl.', 'Code': 'AccessDenied', 'RequestId': '5C37453DDF97EBEDF4BDA095'}}說明:
當(dāng)我們將上傳endpoint設(shè)置為"http://oss-cn-beijing.aliyuncs.com" 時(shí)��,上傳文件失敗�����。說明RAM Policy已經(jīng)生效�����;
目前RAM Policy僅能限制指定的用戶通過HTTPS方式訪問��。下一步OSS將在Bucket Policy中設(shè)置"Secure Transport"參數(shù),以實(shí)現(xiàn)限制所有用戶通過HTTP方式訪問指定的Bucket和對象��;
到此����,關(guān)于“如何限制用戶僅通過HTTPS方式訪問OSS”的學(xué)習(xí)就結(jié)束了,希望能夠解決大家的疑惑����。理論與實(shí)踐的搭配能更好的幫助大家學(xué)習(xí),快去試試吧�����!若想繼續(xù)學(xué)習(xí)更多相關(guān)知識�����,請繼續(xù)關(guān)注創(chuàng)新互聯(lián)網(wǎng)站��,小編會繼續(xù)努力為大家?guī)砀鄬?shí)用的文章�!
網(wǎng)頁標(biāo)題:如何限制用戶僅通過HTTPS方式訪問OSS
鏈接URL:
http://weahome.cn/article/ihsehc.html
重慶分公司
重慶分公司
