如何限制用户仅通过HTTPS方式访问OSS
这篇文章主要介绍“如何限制用户仅通过HTTPS方式访问OSS”,在日常操作中,相信很多人在如何限制用户仅通过HTTPS方式访问OSS问题上存在疑惑,小编查阅了各式资料,整理出简单好用的操作方法,希望对大家解答”如何限制用户仅通过HTTPS方式访问OSS”的疑惑有所帮助!接下来,请跟着小编一起来学习吧!
为察雅等地区用户提供了全套网页设计制作服务,及察雅网站建设行业解决方案。主营业务为成都网站设计、做网站、察雅网站设计,以传统方式定制建设网站,并提供域名空间备案等一条龙服务,秉承以专业、用心的态度为用户提供真诚的服务。我们深信只要达到每一位用户的要求,就会得到认可,从而选择与我们长期合作。这样,我们也可以走得更远!
一、当前存在的问题
当前OSS支持用户使用HTTPS/HTTP协议访问Bucket。但由于HTTP存在安全漏洞。大型企业客户都要求使用HTTPS方式访问OSS,并且拒绝HTTP访问请求。
目前OSS可以通过RAM policy方式实现:限制某个用户、角色拒绝通过HTTP协议访问指定的Bucket和对象。但是RAM Policy是一种基于用户的授权方式,无法针对资源进行授权。也就是说无法针对Bucket或者对象级别,拒绝所有用户的HTTP请求。目前我们正在基于Bucket Policy开发该功能,后续用户可以直接通过Bucket Policy设置HTTPS访问策略。
二、通过RAM Policy实现“限制用户仅通过HTTPS方式访问OSS”
阿里云RAM Policy有丰富的Condition参数,可以限制对资源的访问。这里我们利用"Secure Transport"条件参数生成RAM Policy,以实现拒绝指定的用户通过HTTP方式访问Bucket。
Condition | 功能 | 合法取值 |
---|---|---|
acs:SecureTransport | 是否是https协议 | “true”或者”false” |
2.1RAM Policy示例
为了简化配置,我们事先给账号赋予“AliyunOSSFullAccess”,然后模拟拒绝一切通过HTTP的请求。
添加“拒绝HTTP访问请求”RAM Policy。具体RAM Policy内容如下:
{ "Version": "1", "Statement": [ { "Effect": "Deny", "Action": [ "oss:*" ], "Resource": [ "acs:oss:*:*:*" ], "Condition": { "Bool": { "acs:SecureTransport": [ "false" ] } } } ] }
说明::如上Policy能够拒绝该用户通过HTTP方式访问OSS资源;
2.2用户通过HTTPS方式访问OSS进行测试
说明:
我们以Python SDK上传文件方式进行举例说明;
如下我们在脚本中指定访问路径为"https://oss-cn-beijing.aliyunc.com" ;
2.2.1通过HTTPS方式上传文件
python脚本示例如下:
# -*- coding: utf-8 -*- import oss2 # 阿里云主账号AccessKey拥有所有API的访问权限,风险很高。强烈建议您创建并使用RAM账号进行API访问或日常运维,请登录 https://ram.console.aliyun.com 创建RAM账号。 auth = oss2.Auth('', ' ') # Endpoint以杭州为例,其它Region请按实际情况填写。 bucket = oss2.Bucket(auth, 'https://oss-cn-beijing.aliyuncs.com', 'test-beijing-2018') # 由本地文件路径加文件名包括后缀组成,例如/users/local/myfile.txt bucket.put_object_from_file('02.txt', '002.txt')
执行结果如下:
root@shanghai-02:~/figo# python putobject.py 2019-01-10 20:55:37,003 oss2.api [INFO] 140496922879744 : Init oss bucket, endpoint: https://oss-cn-beijing.aliyuncs.com, isCname: False, connect_timeout: None, app_name: , enabled_crc: True 2019-01-10 20:55:37,008 oss2.api [INFO] 140496922879744 : Put object from file, bucket: test-beijing-2018, key: 02.txt, file path: 002.txt 2019-01-10 20:55:37,009 oss2.api [INFO] 140496922879744 : Start to put object, bucket: test-beijing-2018, key: 02.txt, headers: {'Content-Type': 'text/plain'} 2019-01-10 20:55:37,212 oss2.api [INFO] 140496922879744 : Put object done, req_id: 5C3740C952FF5BAFB298BDDA, status_code: 200
说明:如上执行结果,表明文件已经上传成功;
2.2.2通过HTTP方式上传文件
说明:如下我们在脚本中指定访问路径为“http://oss-cn-beijing.aliyuncs.com”
python脚本示例如下:
# -*- coding: utf-8 -*- import oss2 # 阿里云主账号AccessKey拥有所有API的访问权限,风险很高。强烈建议您创建并使用RAM账号进行API访问或日常运维,请登录 https://ram.console.aliyun.com 创建RAM账号。 auth = oss2.Auth('', ' ') # Endpoint以杭州为例,其它Region请按实际情况填写。 bucket = oss2.Bucket(auth, 'http://oss-cn-beijing.aliyuncs.com', 'test-beijing-2018') # 由本地文件路径加文件名包括后缀组成,例如/users/local/myfile.txt bucket.put_object_from_file('02.txt', '002.txt')
执行结果如下:
root@shanghai-02:~/figo# python putobject.py 2019-01-10 21:14:37,499 oss2.api [INFO] 140697781880576 : Init oss bucket, endpoint: http://oss-cn-beijing.aliyuncs.com, isCname: False, connect_timeout: None, app_name: , enabled_crc: True 2019-01-10 21:14:37,501 oss2.api [INFO] 140697781880576 : Put object from file, bucket: test-beijing-2018, key: 02.txt, file path: 002.txt 2019-01-10 21:14:37,503 oss2.api [INFO] 140697781880576 : Start to put object, bucket: test-beijing-2018, key: 02.txt, headers: {'Content-Type': 'text/plain'} 2019-01-10 21:14:37,585 oss2.api [ERROR] 140697781880576 : Exception: {'status': 403, 'x-oss-request-id': '5C37453DDF97EBEDF4BDA095', 'details': {'HostId': 'test-beijing-2018.oss-cn-beijing.aliyuncs.com', 'Message': 'You have no right to access this object because of bucket acl.', 'Code': 'AccessDenied', 'RequestId': '5C37453DDF97EBEDF4BDA095'}} Traceback (most recent call last): File "putobject.py", line 10, inbucket.put_object_from_file('02.txt', '002.txt') File "build/bdist.linux-x86_64/egg/oss2/api.py", line 481, in put_object_from_file File "build/bdist.linux-x86_64/egg/oss2/api.py", line 453, in put_object File "build/bdist.linux-x86_64/egg/oss2/api.py", line 1579, in __do_object File "build/bdist.linux-x86_64/egg/oss2/api.py", line 210, in _do oss2.exceptions.AccessDenied: {'status': 403, 'x-oss-request-id': '5C37453DDF97EBEDF4BDA095', 'details': {'HostId': 'test-beijing-2018.oss-cn-beijing.aliyuncs.com', 'Message': 'You have no right to access this object because of bucket acl.', 'Code': 'AccessDenied', 'RequestId': '5C37453DDF97EBEDF4BDA095'}}
说明:
当我们将上传endpoint设置为"http://oss-cn-beijing.aliyuncs.com" 时,上传文件失败。说明RAM Policy已经生效;
目前RAM Policy仅能限制指定的用户通过HTTPS方式访问。下一步OSS将在Bucket Policy中设置"Secure Transport"参数,以实现限制所有用户通过HTTP方式访问指定的Bucket和对象;
到此,关于“如何限制用户仅通过HTTPS方式访问OSS”的学习就结束了,希望能够解决大家的疑惑。理论与实践的搭配能更好的帮助大家学习,快去试试吧!若想继续学习更多相关知识,请继续关注创新互联网站,小编会继续努力为大家带来更多实用的文章!
本文名称:如何限制用户仅通过HTTPS方式访问OSS
浏览路径:http://ybzwz.com/article/ihsehc.html