针对存放在Bucket的Object的访问,OSS提供了以下权限控制策略:
| ACL | OSS为权限控制提供访问控制列表(ACL)。ACL是基于资源的授权策略,可授予Bucket和Object访问权限。 您可以在创建Bucket或上传Object时设置 ACL,也可以在创建Bucket或上传Object 后的任意时间内修改ACL。 |
| RAM Policy | RAM(Resource Access Management)是阿里云提供的资源访问控制服务。RAM Policy是基于用户的授权策略。通过设置RAM Policy,您可以集中管理您的用户(比如员工、系统或应用程序),以及控制用户可以访问您名下哪些资源的权限,比如限制您的用户只拥有对某一个Bucket的读权限。 |
| Bucket Policy | Bucket Policy是基于资源的授权策略。相比于RAM Policy,Bucket Policy操作简单,支持在控制台直接进行图形化配置,并且Bucket拥有者直接可以进行访问授权,无需具备RAM操作权限。Bucket Policy支持向其他账号的RAM用户授予访问权限,以及向匿名用户授予带特定IP条件限制的访问权限。 |
| STS临时授权 | OSS可以通过阿里云STS(Security Token Service)进行临时授权访问。通过STS,您可以为第三方应用或子用户(即用户身份由您自己管理的用户)颁发一个自定义时效和权限的访问凭证。 |
| 防盗链 | OSS支持对存储空间(Bucket)设置防盗链,即通过对访问来源设置白名单的机制,避免OSS资源被其他人盗用。 |
当Bucket同时存在多个权限控制策略时,策略优先级如下:
- 不通过浏览器访问
若同时存在RAM Policy、Bucket Policy及防盗链时,可忽略防盗链配置。针对某个Object,RAM Policy和Bucket Policy的所有策略都允许访问则为允许;任一策略禁止,则为禁止。
- 通过浏览器访问
若同时存在RAM Policy、Bucket Policy及防盗链时,针对某个Object,所有策略都允许访问则为允许;任一策略禁止,则为禁止。
