如何限制用户仅通过HTTPS方式访问OSS?

一、当前存在的问题
当前OSS支持用户使用HTTPS/HTTP协议访问Bucket。但由于HTTP存在安全漏洞。大型企业客户都要求使用HTTPS方式访问OSS,并且拒绝HTTP访问请求。

目前OSS可以通过RAM policy方式实现:限制某个用户、角色拒绝通过HTTP协议访问指定的Bucket和对象。但是RAM Policy是一种基于用户的授权方式,无法针对资源进行授权。也就是说无法针对Bucket或者对象级别,拒绝所有用户的HTTP请求。目前我们正在基于Bucket Policy开发该功能,后续用户可以直接通过Bucket Policy设置HTTPS访问策略。

二、通过RAM Policy实现“限制用户仅通过HTTPS方式访问OSS”
阿里云RAM Policy有丰富的Condition参数,可以限制对资源的访问。这里我们利用"Secure Transport"条件参数生成RAM Policy,以实现拒绝指定的用户通过HTTP方式访问Bucket。

Condition 功能 合法取值
acs:SecureTransport 是否是https协议 “true”或者”false”
2.1RAM Policy示例
为了简化配置,我们事先给账号赋予“AliyunOSSFullAccess”,然后模拟拒绝一切通过HTTP的请求。
添加“拒绝HTTP访问请求”RAM Policy。具体RAM Policy内容如下:
{
"Version": "1",
"Statement": [
{
"Effect": "Deny",
"Action": [
"oss:"
],
"Resource": [
"acs:oss:::"
],
"Condition": {
"Bool": {
"acs:SecureTransport": [
"false"
]
}
}
}
]
}
说明::如上Policy能够拒绝该用户通过HTTP方式访问OSS资源;

2.2用户通过HTTPS方式访问OSS进行测试
说明:

我们以Python SDK上传文件方式进行举例说明;
如下我们在脚本中指定访问路径为"https://oss-cn-beijing.aliyunc.com" ;
2.2.1通过HTTPS方式上传文件
python脚本示例如下:

-- coding: utf-8 --

import oss2

阿里云主账号AccessKey拥有所有API的访问权限,风险很高。强烈建议您创建并使用RAM账号进行API访问或日常运维,请登录 https://ram.console.aliyun.com 创建RAM账号。

auth = oss2.Auth(‘<yourAccessKeyId>‘, ‘<yourAccessKeySecret>‘)

Endpoint以杭州为例,其它Region请按实际情况填写。

bucket = oss2.Bucket(auth, ‘https://oss-cn-beijing.aliyuncs.com‘, ‘test-beijing-2018‘)

<yourLocalFile>由本地文件路径加文件名包括后缀组成,例如/users/local/myfile.txt

bucket.put_object_from_file(‘02.txt‘, ‘002.txt‘)
执行结果如下:
[email protected]:~/figo# python putobject.py
2019-01-10 20:55:37,003 oss2.api [INFO] 140496922879744 : Init oss bucket, endpoint: https://oss-cn-beijing.aliyuncs.com, isCname: False, connect_timeout: None, app_name: , enabled_crc: True
2019-01-10 20:55:37,008 oss2.api [INFO] 140496922879744 : Put object from file, bucket: test-beijing-2018, key: 02.txt, file path: 002.txt
2019-01-10 20:55:37,009 oss2.api [INFO] 140496922879744 : Start to put object, bucket: test-beijing-2018, key: 02.txt, headers: {‘Content-Type‘: ‘text/plain‘}
2019-01-10 20:55:37,212 oss2.api [INFO] 140496922879744 : Put object done, req_id: 5C3740C952FF5BAFB298BDDA, status_code: 200
说明:如上执行结果,表明文件已经上传成功;

2.2.2通过HTTP方式上传文件
说明:如下我们在脚本中指定访问路径为“http://oss-cn-beijing.aliyuncs.com

python脚本示例如下:

-- coding: utf-8 --

import oss2

阿里云主账号AccessKey拥有所有API的访问权限,风险很高。强烈建议您创建并使用RAM账号进行API访问或日常运维,请登录 https://ram.console.aliyun.com 创建RAM账号。

auth = oss2.Auth(‘<yourAccessKeyId>‘, ‘<yourAccessKeySecret>‘)

Endpoint以杭州为例,其它Region请按实际情况填写。

bucket = oss2.Bucket(auth, ‘http://oss-cn-beijing.aliyuncs.com‘, ‘test-beijing-2018‘)

<yourLocalFile>由本地文件路径加文件名包括后缀组成,例如/users/local/myfile.txt

bucket.put_object_from_file(‘02.txt‘, ‘002.txt‘)
执行结果如下:
[email protected]:~/figo# python putobject.py
2019-01-10 21:14:37,499 oss2.api [INFO] 140697781880576 : Init oss bucket, endpoint: http://oss-cn-beijing.aliyuncs.com, isCname: False, connect_timeout: None, app_name: , enabled_crc: True
2019-01-10 21:14:37,501 oss2.api [INFO] 140697781880576 : Put object from file, bucket: test-beijing-2018, key: 02.txt, file path: 002.txt
2019-01-10 21:14:37,503 oss2.api [INFO] 140697781880576 : Start to put object, bucket: test-beijing-2018, key: 02.txt, headers: {‘Content-Type‘: ‘text/plain‘}
2019-01-10 21:14:37,585 oss2.api [ERROR] 140697781880576 : Exception: {‘status‘: 403, ‘x-oss-request-id‘: ‘5C37453DDF97EBEDF4BDA095‘, ‘details‘: {‘HostId‘: ‘test-beijing-2018.oss-cn-beijing.aliyuncs.com‘, ‘Message‘: ‘You have no right to access this object because of bucket acl.‘, ‘Code‘: ‘AccessDenied‘, ‘RequestId‘: ‘5C37453DDF97EBEDF4BDA095‘}}
Traceback (most recent call last):
File "putobject.py", line 10, in <module>
bucket.put_object_from_file(‘02.txt‘, ‘002.txt‘)
File "build/bdist.linux-x86_64/egg/oss2/api.py", line 481, in put_object_from_file
File "build/bdist.linux-x86_64/egg/oss2/api.py", line 453, in put_object
File "build/bdist.linux-x86_64/egg/oss2/api.py", line 1579, in __do_object
File "build/bdist.linux-x86_64/egg/oss2/api.py", line 210, in _do
oss2.exceptions.AccessDenied: {‘status‘: 403, ‘x-oss-request-id‘: ‘5C37453DDF97EBEDF4BDA095‘, ‘details‘: {‘HostId‘: ‘test-beijing-2018.oss-cn-beijing.aliyuncs.com‘, ‘Message‘: ‘You have no right to access this object because of bucket acl.‘, ‘Code‘: ‘AccessDenied‘, ‘RequestId‘: ‘5C37453DDF97EBEDF4BDA095‘}}
说明:

当我们将上传endpoint设置为"http://oss-cn-beijing.aliyuncs.com" 时,上传文件失败。说明RAM Policy已经生效;
目前RAM Policy仅能限制指定的用户通过HTTPS方式访问。下一步OSS将在Bucket Policy中设置"Secure Transport"参数,以实现限制所有用户通过HTTP方式访问指定的Bucket和对象;

原文地址:http://blog.51cto.com/14031893/2344287

时间: 2024-10-08 19:22:51

如何限制用户仅通过HTTPS方式访问OSS?的相关文章

cas 用HTTPS方式访问 安全连接失败

在cas server配置以HTTPS方式,客户端同样请求为HTTPS方式,在各个浏览器下出现错误,如下: firefox: chrome: ie: ie上看不到任何反应就不贴图了 导致以上结果的原因就是在客户端指定的server地址有问题,不应该指定server的应用端口 而是应该指定为SSL端口443或8443,如: <filter> <filter-name>CASFilter</filter-name> <filter-class>org.jasig

kubernetes使用traefik的https方式访问web应用

背景之前的文章中,我已经利用kubernetes的traefik服务作为入口,访问了tomcat的相关服务,但之前的文章是通过http的方式来访问的.在现实应用中,为了安全考虑,肯定有https访问的需求,这里我们就通过traefik来实现https的访问.之前的文章链接:http://blog.51cto.com/icenycmh/2124502 实验操作一:想开启https,证书是少不了的.可以自己手动建一个证书,或者利用已经有的证书.这里我用已经申请的一个ssl证书,对应的域名为*.gzs

Linux实现https方式访问站点

一:SSL会话的简化过程 (1) 客户端发送可供选择的加密方式,并向服务器请求证书: (2) 服务器端发送证书以及选定的加密方式给客户端: (3) 客户端取得证书并进行证书验正: 如果信任给其发证书的CA: (a) 验正证书来源的合法性:用CA的公钥解密证书上数字签名: (b) 验正证书的内容的合法性:完整性验正 (c) 检查证书的有效期限: (d) 检查证书是否被吊销: (e) 证书中拥有者的名字,与访问的目标主机要一致: (4) 客户端生成临时会话密钥(对称密钥),并使用服务器端的公钥加密此

Windows Server 2008 R2 下配置证书服务器和HTTPS方式访问网站

文章来源:http://blog.csdn.net/jiftlixu/article/details/11676081 http://www.cnblogs.com/zhongweiv/archive/2013/01/07/https.html 目录 配置环境 了解HTTPS 配置CA证书服务器 新建示例网站并发布在IIS 新建自签名证书并配置HTTPS 故障排除 其它机器无法通过访问 配置环境 Windows版本:Windows Server 2008 R2 Enterprise Servic

IIS7.0 Windows Server 2008 R2 下配置证书服务器和HTTPS方式访问网站

配置环境 Windows版本:Windows Server 2008 R2 Enterprise Service Pack 1 系统类型: 64 位操作系统 了解HTTPS 为什么需要 HTTPS ? 在我们浏览网站时,多数网站的URL都是以HTTP开头,HTTP协议我们比较熟悉,信息通过明文传输; 使用HTTP协议有它的优点,它与服务器间传输数据更快速准确; 但是HTTP明显是不安全的,我们也可以注意到,当我们在使用邮件或者是在线支付时,都是使用HTTPS; HTTPS传输数据需要使用证书并对

tomcat配置https方式访问

1.cmd 命令下,然后在jdk的bin的目录下执行 keytool -genkey -alias tomcat -keyalg RSA -keystore F:\tomcat.keystore -validity 36500 然后会又提示让你填写相关信息,提示的内容如下,填写格式如下: A.输入keystore密码:此处需要输入大于6个字符的字符串 B."您的名字与姓氏是什么?"这是必填项,并且必须是TOMCAT部署主机的域名或者IP[如:gbcom.com 或者 10.1.25.2

在mac Apache配置https方式访问网站

引入httpd-ssl.conf文件 在相应的目录下找到httd-conf文件  一般都是在/etc/apache2/httpd.conf  下 取消掉Include /private/etc/apache2/extra/httpd-ssl.conf 前面的注释符号#  也就是引入httpd-ssl.conf文件 生成KEY和证书. 因为在 /private/etc/apache2/extra/httpd-ssl.conf 已经配置好KEY 和证书的名字所以下面的步骤中请不要修改生成的KEY文件

android httpClient 支持HTTPS的访问方式

项目中Android https请求地址遇到了这个异常(无终端认证): javax.net.ssl.SSLPeerUnverifiedException: No peer certificate 是SSL协议中没有终端认证. 没有遇到过的问题,于是无奈的去找度娘....... 看了不少大神的博客后得到的解决方案如下:     /**      * Post请求连接Https服务      * @param serverURL  请求地址      * @param jsonStr    请求报文

如何让springboot打包的项目部署在阿里云上使用https和http方式访问

前言 问题描述:怎么让springboot部署在服务器上使用https协议方式访问我们的接口或者域名,目的是某些平台请求的是https协议,而不是https 部署环境:阿里云 centos7服务器,springboot项目打包的jar,nginx反向代理 注:部署前需要解决几个问题 1)需要配置springboot项目支持https协议, 2)需要配置阿里云的安全组,放行相关的端口,如本文中开放的8080和8081端口 3)配置nginx的nginx.conf文件做好反向代理 4)申请ssl文件