2. 程式人生 > >如何限制用戶僅通過HTTPS方式訪問OSS?

如何限制用戶僅通過HTTPS方式訪問OSS?

阿新 發佈:2019-01-21
漏洞 -i bec out 要求 sdk you lin ref

一、當前存在的問題
當前OSS支持用戶使用HTTPS/HTTP協議訪問Bucket。但由於HTTP存在安全漏洞。大型企業客戶都要求使用HTTPS方式訪問OSS,並且拒絕HTTP訪問請求。

目前OSS可以通過RAM policy方式實現:限制某個用戶、角色拒絕通過HTTP協議訪問指定的Bucket和對象。但是RAM Policy是一種基於用戶的授權方式,無法針對資源進行授權。也就是說無法針對Bucket或者對象級別,拒絕所有用戶的HTTP請求。目前我們正在基於Bucket Policy開發該功能,後續用戶可以直接通過Bucket Policy設置HTTPS訪問策略。

二、通過RAM Policy實現“限制用戶僅通過HTTPS方式訪問OSS”

阿裏雲RAM Policy有豐富的Condition參數,可以限制對資源的訪問。這裏我們利用"Secure Transport"條件參數生成RAM Policy,以實現拒絕指定的用戶通過HTTP方式訪問Bucket。

Condition 功能 合法取值
acs:SecureTransport 是否是https協議 “true”或者”false”
2.1RAM Policy示例
為了簡化配置,我們事先給賬號賦予“AliyunOSSFullAccess”,然後模擬拒絕一切通過HTTP的請求。
添加“拒絕HTTP訪問請求”RAM Policy。具體RAM Policy內容如下:
{

"Version": "1",
"Statement": [
{
"Effect": "Deny",
"Action": [
"oss:"
],
"Resource": [
"acs:oss:::"
],
"Condition": {
"Bool": {
"acs:SecureTransport": [
"false"
]
}
}
}
]
}
說明::如上Policy能夠拒絕該用戶通過HTTP方式訪問OSS資源;

2.2用戶通過HTTPS方式訪問OSS進行測試
說明:

我們以Python SDK上傳文件方式進行舉例說明;
如下我們在腳本中指定訪問路徑為"https://oss-cn-beijing.aliyunc.com" ;
2.2.1通過HTTPS方式上傳文件
python腳本示例如下:

-- coding: utf-8 --

import oss2

阿裏雲主賬號AccessKey擁有所有API的訪問權限,風險很高。強烈建議您創建並使用RAM賬號進行API訪問或日常運維,請登錄 https://ram.console.aliyun.com 創建RAM賬號。

auth = oss2.Auth(‘<yourAccessKeyId>‘, ‘<yourAccessKeySecret>‘)

Endpoint以杭州為例,其它Region請按實際情況填寫。

bucket = oss2.Bucket(auth, ‘https://oss-cn-beijing.aliyuncs.com‘, ‘test-beijing-2018‘)

<yourLocalFile>由本地文件路徑加文件名包括後綴組成,例如/users/local/myfile.txt

bucket.put_object_from_file(‘02.txt‘, ‘002.txt‘)
執行結果如下:
root@shanghai-02:~/figo# python putobject.py
2019-01-10 20:55:37,003 oss2.api [INFO] 140496922879744 : Init oss bucket, endpoint: https://oss-cn-beijing.aliyuncs.com, isCname: False, connect_timeout: None, app_name: , enabled_crc: True
2019-01-10 20:55:37,008 oss2.api [INFO] 140496922879744 : Put object from file, bucket: test-beijing-2018, key: 02.txt, file path: 002.txt
2019-01-10 20:55:37,009 oss2.api [INFO] 140496922879744 : Start to put object, bucket: test-beijing-2018, key: 02.txt, headers: {‘Content-Type‘: ‘text/plain‘}
2019-01-10 20:55:37,212 oss2.api [INFO] 140496922879744 : Put object done, req_id: 5C3740C952FF5BAFB298BDDA, status_code: 200
說明:如上執行結果,表明文件已經上傳成功;

2.2.2通過HTTP方式上傳文件
說明:如下我們在腳本中指定訪問路徑為“http://oss-cn-beijing.aliyuncs.com”

python腳本示例如下:

-- coding: utf-8 --

import oss2

阿裏雲主賬號AccessKey擁有所有API的訪問權限,風險很高。強烈建議您創建並使用RAM賬號進行API訪問或日常運維,請登錄 https://ram.console.aliyun.com 創建RAM賬號。

auth = oss2.Auth(‘<yourAccessKeyId>‘, ‘<yourAccessKeySecret>‘)

Endpoint以杭州為例,其它Region請按實際情況填寫。

bucket = oss2.Bucket(auth, ‘http://oss-cn-beijing.aliyuncs.com‘, ‘test-beijing-2018‘)

<yourLocalFile>由本地文件路徑加文件名包括後綴組成,例如/users/local/myfile.txt

bucket.put_object_from_file(‘02.txt‘, ‘002.txt‘)
執行結果如下:
root@shanghai-02:~/figo# python putobject.py
2019-01-10 21:14:37,499 oss2.api [INFO] 140697781880576 : Init oss bucket, endpoint: http://oss-cn-beijing.aliyuncs.com, isCname: False, connect_timeout: None, app_name: , enabled_crc: True
2019-01-10 21:14:37,501 oss2.api [INFO] 140697781880576 : Put object from file, bucket: test-beijing-2018, key: 02.txt, file path: 002.txt
2019-01-10 21:14:37,503 oss2.api [INFO] 140697781880576 : Start to put object, bucket: test-beijing-2018, key: 02.txt, headers: {‘Content-Type‘: ‘text/plain‘}
2019-01-10 21:14:37,585 oss2.api [ERROR] 140697781880576 : Exception: {‘status‘: 403, ‘x-oss-request-id‘: ‘5C37453DDF97EBEDF4BDA095‘, ‘details‘: {‘HostId‘: ‘test-beijing-2018.oss-cn-beijing.aliyuncs.com‘, ‘Message‘: ‘You have no right to access this object because of bucket acl.‘, ‘Code‘: ‘AccessDenied‘, ‘RequestId‘: ‘5C37453DDF97EBEDF4BDA095‘}}
Traceback (most recent call last):
File "putobject.py", line 10, in <module>
bucket.put_object_from_file(‘02.txt‘, ‘002.txt‘)
File "build/bdist.linux-x86_64/egg/oss2/api.py", line 481, in put_object_from_file
File "build/bdist.linux-x86_64/egg/oss2/api.py", line 453, in put_object
File "build/bdist.linux-x86_64/egg/oss2/api.py", line 1579, in __do_object
File "build/bdist.linux-x86_64/egg/oss2/api.py", line 210, in _do
oss2.exceptions.AccessDenied: {‘status‘: 403, ‘x-oss-request-id‘: ‘5C37453DDF97EBEDF4BDA095‘, ‘details‘: {‘HostId‘: ‘test-beijing-2018.oss-cn-beijing.aliyuncs.com‘, ‘Message‘: ‘You have no right to access this object because of bucket acl.‘, ‘Code‘: ‘AccessDenied‘, ‘RequestId‘: ‘5C37453DDF97EBEDF4BDA095‘}}
說明:

當我們將上傳endpoint設置為"http://oss-cn-beijing.aliyuncs.com" 時,上傳文件失敗。說明RAM Policy已經生效;
目前RAM Policy僅能限制指定的用戶通過HTTPS方式訪問。下一步OSS將在Bucket Policy中設置"Secure Transport"參數,以實現限制所有用戶通過HTTP方式訪問指定的Bucket和對象;

如何限制用戶僅通過HTTPS方式訪問OSS?

相關推薦

如何限制通過HTTPS方式訪問OSS

漏洞 -i bec out 要求 sdk you lin ref 一、當前存在的問題當前OSS支持用戶使用HTTPS/HTTP協議訪問Bucket。但由於HTTP存在安全漏洞。大型企業客戶都要求使用HTTPS方式訪問OSS,並且拒絕HTTP訪問請求。 目前OSS可以通過RA

【最佳實踐】如何限制使用者通過HTTPS方式訪問OSS

一、當前存在的問題   當前OSS支援使用者使用HTTPS/HTTP協議訪問Bucket。但由於HTTP存在安全漏洞。大型企業客戶都要求使用HTTPS方式訪問OSS,並且拒絕HTTP訪問請求。   目前OSS可以通過RAM policy方式實現:限制某個使用者、角色

Exchange2010 升級到 2016,2010無法通過2016代理訪問郵箱,導致連接失敗。

-o anywhere out 功能 自動 hang 導致 chang chan 環境說明: 1臺AD和證書,4臺2010 前後端(NLB和DAG),2臺2016全角色。問題:當郵件流切換到2016後 原本在2010上的郵箱無法通過OUTLOOK連接,但是可以自動發現並配置

Apache 通過 rewrite 限制訪問某個目錄

xtra pre apach ext http erro oca tom code [[email protected]/* */ ~]# vim /usr/local/apache2/conf/extra/httpd-vhosts.conf <Vi

mysql限制只能訪問指定數據庫

訪問 alter upd clas select view reference flush user 1.使用root賬戶登錄mysql mysql -uroot -ppassword 2.進入mysql數據庫 mysql > use mysql 3.限制用戶

docker-預告-ssh限制訪問目錄

用戶 添加 dev con dir erro add ash vim 上一集:http://blog.51cto.com/creatoryuan/2072419 rpm -qf /usr/bin/cat coreutils-8.22-15.el7.x86_64 rpm -q

Linux sftp限制訪問指定目錄

usr 無法創建 penssh creat man connect restart -s ati 一、創建新用戶: [root@controller ~]# useradd test[root@controller ~]# passwd testNew password:

小程序獲取信息新方式

為提升用戶體驗,小程序再次開放兩項新能力! 獲取用戶信息 開發者需在小程序頁面中放置按鈕,用戶主動點擊後才可獲取用戶的頭像昵稱等信息。可提高用戶授權成功率,同時支持用戶多次點擊重新授權。 此前,我們第一次打開任意小程序的時候,

自定義攔截器判斷是否有權限訪問

indexof mon com source ora extend ide isa att 1、關於權限系統,對於用戶是否有權限對系統進行訪問,設置自定義攔截器,來攔截用戶的請求 1 package org.slsale.interceptor; 2 3 impo

老男孩教育每日一題-第106天-MySQL如何授權admin:password遠程訪問權限

每日一題 mysql添加用戶 解答:假定內網網段172.16.1.0,用戶admin,密碼password,數據庫oldboy。只創建用戶:create user [email protected]/* */%‘ identified by ‘password‘;創建用戶並授權數據庫權限,

SuSE sftp 限制活動目錄

4.5 amp 51cto root 不存在 操作系統 conf com 限定 需求:使用sftp替代vsftpd,要求用戶沒有權限登錄操作系統,並且只能在指定目錄進行上傳下載。 使用 sftp 的 chrootdirectory 功能。 註釋掉原來的Subsystem

tomcat配置https方式訪問

web tomcat部署 rect serve led 字符 是你 eve tomcat 1.cmd 命令下,然後在jdk的bin的目錄下執行 keytool -genkey -alias tomcat -keyalg RSA -keystore F:\tomcat.k

mySql-5.7,root忘記密碼處理方式

修改配置 res ora 重啟 row ngs tables for then 首先登錄服務器:Linux 1.修改配置文件 vi /etc/my.cnf 在[mysqld]的段中加上一句 skip-grant-tables 2.保存重啟 mysql service my

Nginx限制下載文件速率

mona pre soft false highlight new overflow ... size 下載www.linuxom.com/download/movie.avi 文件,默認情況下,很快就可以下載完成# time wget http://42.51.137.1

O365結合ADFS限制登錄地址 (一) - 開篇介紹

外網 導入 proxy hang 訪問 客戶 fff png 本地 今天來談談O365,O365作為一個Saas的服務,本身相比較在本地部署Exchange + S4B Server + SharePoint來說已經方便了不知道多少倍,作為企業的IT來說已經可以將工

O365結合ADFS限制登錄地址 (二) - 安裝AAD Connect

點擊 break conn 本地 數據庫 span 保護 需要 過去 開篇簡單介紹了我們要做的事,和需要準備的東西,相信基本上還是可以看的明白的,下邊進入主題,我們來看一下如何部署ADFS 首先來講一下ADFS大概的架構,一般來說在生產環境,我們是推薦將ADF

016_把普通免秘鑰加入root的幾種方式

down sudoer cdrom nopasswd 普通 -c umount egrep dir 一、第一種方式。 (1) [root@infra-jyallkv-tikv-pps-7 ~]# tail /etc/sudoers## Allows members of t

O365結合ADFS限制登錄地址 (三) - 部署ADFS及Proxy

roc shell 腳本 技術分享 cto proc 介紹 1.5 farm 承接上文,下邊來重點介紹下ADFS以及Proxy的部署,註意配置前因為Proxy沒有加域,如果是本地AD簽發的證書,最好提前導入到Proxy中最好證書的信任 1.在AAD Conne

O365結合ADFS限制登錄地址 (四) - 配置Claim Rules

limit 技術 exists active color 名單 1.5 external testing 到目前為止,我們已經完成了ADFS的部署工作,在之前的測試裏也可以看到我們在登錄的時候已經是重定向到本地ADFS了,並且也可以看到一些審核的log,接下來就是我

kubernetes使用traefik的https方式訪問web應用

traefik https k8s 背景之前的文章中,我已經利用kubernetes的traefik服務作為入口,訪問了tomcat的相關服務,但之前的文章是通過http的方式來訪問的。在現實應用中,為了安全考慮,肯定有https訪問的需求,這裏我們就通過traefik來實現https的訪問。之前