这篇文章主要记录的是在阿里云创建归档类型的oss对象存储桶并限制IP访问和用户访问权限。
一、登录阿里云
通过阿里云的网站正常登陆,访问对象存储oss页面,如下图所示。
二、创建桶
(一)创建桶
创建桶的步骤不在复述,本文章重点关注限制IP和用户访问权限
三、创建用户
随着业务发展和组织变迁,应持续关注云上身份权限的使用情况。使用RAM权限策略对资源的操作限制。通俗点说就是一个策略对一个用户,按需启用控制台登录和AccessKey,及时回收失效身份,尽可能最小化授权。
(一)访问RAM访问控制
通过用户名称下拉擦弹的”访问控制”菜单,进入”RAM访问控制”配置页面。如下所示。
(二)创建用户
选择右侧”身份管理”中的”用户”菜单,选择”创建用户”。填写如下内容。
登录名称:格式为英文字母、数字、.、_或-,最多包含 64 个字符。
访问方式:按照需要勾选用户的访问方式,如果不需要通过控制台来上传下载文件建议仅勾选OpenAPI方式。
1.控制台访问
用户使用账号密码访问阿里云控制台
2.OpenAPI调用访问
启用 AccessKey ID 和 AccessKey Secret,支持通过 API 或其他开发工具访问。
(二)添加用户权限
用户创建完成后,在”用户”菜单中,勾选新创建的用户,选择”添加权限”。如下图所示。
授权范围:按需要可以指定资源组或者整个云帐号。
授权主体:选择我们刚创建的帐号。
选择权限:针对我们的对象存储,需要限制IP地址访问、用户没有删除权限、用户可以查看性鞥监控。
1.系统策略
选择AliyunCloudMonitorReadOnlyAccess策略,该策略的作用是只读访问云监控(CloudMonitor)的权限。
2.自定义策略
选择”创建权限策略”来创建自定义策略。限制该用户仅可以上传、下载、列出对象。
自定义策略如下:
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"oss:ListBuckets",
"oss:GetBucketStat",
"oss:GetBucketInfo",
"oss:GetBucketTagging",
"oss:GetBucketAcl"
],
"Resource": "acs:oss:*:*:*"
},
{
"Effect": "Allow",
"Action": [
"oss:GetObject",
"oss:PutObject",
"oss:GetObjectAcl",
"oss:ListObjects",
"oss:GetBucketAcl",
"oss:RestoreObject"
],
"Resource": "acs:oss:*:*:yunweixia"
},
{
"Effect": "Allow",
"Action": [
"oss:GetObject",
"oss:PutObject",
"oss:GetObjectAcl",
"oss:ListObjects",
"oss:GetBucketAcl",
"oss:RestoreObject"
],
"Resource": "acs:oss:*:*:yunweixia/*"
}
]
}
三、创建OSS对象存储策略,限制IP地址访问。
通过工作台访问”对象存储OSS”页面,通过”Bucket列表”访问我们新创建的存储桶。
访问”权限控制”菜单进入”Bucket权限策略”中的”新增授权”。我们需要简单设置,如下所示。
授权用户:选择我们新创建的用户。
授权操作:完全控制。
条件:IP=需要访问该归档存储的源IP地址。
四、总结
通过如上设置,我们完成了新建归档类型的对象存储oss,限制通过api访问并没有删除权限并且该桶仅可以通过固定IP地址访问。
原创文章,作者:运维侠,如若转载,请注明出处:https://www.yunweixia.com/solutions/alibaba-cloud-oss-archive-storage-ip-access-control-guide.html
微信扫一扫 
支付宝扫一扫 
