使用OSS中的数据作为机器学习的训练样本
DataLakeAnalytics+OSS:基于OSS的Severless的交互式查询分析
通过HDP2.6 Hadoop读取和写入OSS数据
通过CDH5 Hadoop读取和写入OSS数据
Apache Impala(CDH6)查询OSS数据
Spark使用OSS Select加速数据查询
基于OSS+MaxCompute构建数据仓库
数据备份和容灾
备份存储空间
数据库备份到OSS
通过云存储网关使用OSS服务
本地共享文件夹访问
本地磁盘访问
OSS上传提示Name or service not known报错
osscmd工具上传提示InvalidBucketName报错
调用Callback时页面显示400 call back error
OSS服务.netSDK中使用MemoryStream上传文件为空的解决方法
OSS下载rar格式文件,打开后乱码
IE浏览器下载OSS文件后扩展名被省略
OSS支持FTP吗?
OSS文件实现强制下载的方法
OSS Post请求的Policy设置方法
OSS通过range参数获取部分文件
OSS的文件更新后,部分地区下载的文件仍是旧的版本
在OSS控制台中读请求与写请求次数统计的来源
使用OSS的JS SDK上传大于100K的文件时报错
OSS验证Refer防盗链是否生效
OSS变通实现IP黑白名单
STS生成的临时账户授权检查逻辑
OSS的Bucket权限管理
如何获取AccessKeyId和AccessKeySecret
Access key对OSS的bucket控制权限太高,需要对bucket更细粒度的权限控制
RAM子账户授权OSS单个bucket中部分文件的访问权限
oss域名访问提示Anonymous access is forbidden for this operation.
OSS细粒度的权限控制
OSS异常流量排查及防护
如何给子账号赋权OSS的操作?
如何授权RAM子账号列举指定文件目录
Python sdk中multiupload上传如何验证文件完整性
OSS MD5一致性校验说明
OSS下载内容与实际内容不一致
域名/网络
OSS如何查看Bucket内网、外网域名地址
ECS用户如何正确使用OSS内网地址?
OSS是否支持Bucket作为三级域名的访问方式?
OSS是否支持HTTPS访问
通过反向代理访问OSS的HTTPS域名
OSS+CDN访问文件直接下载
OSS设置Object更新时自动刷新CDN缓存
OSS使用SDK访问Bucket提示Endpoint错误
OSS设置CORS规则以后还是报No 'Access-Control-Allow-Origin'的解决方法
访问OSS资源或者使用SDK时提示“ using the specified endpoint”
OSS绑定域名时验证域名所有权
为什么OSS内网域名无法ping通
DNS解析
站点中如何应用OSS资源
OSS如何开启CDN加速服务
OSS触发FIN的条件
OSS上传或下载的带宽限制
OSS上传慢
如何停止绑定域名时默认开启的CDN服务?
如何设置HTTPS证书托管
对象存储OSS中Bucket的访问域名使用介绍
对象存储OSS查看Bucket统计和Object统计方法
通过OSS控制台资源监控报表功能了解Bucket使用情况
通过OSS控制台概览了解Bucket相关属性
OSS通过管理控制台查看资源监控报表的请求次数统计信息
如何授权子账号云查看OSS控制台总概览的基础数据
存储空间(bucket)管理
如何获取OSS上每个文件夹的大小
OSS中可以重命名Bucket吗?是否支持Object迁移?
OSS如何一键删除Bucket
OSS对object和目录的移动与修改操作
OSS的Bucket、Object、文件目录命名规范汇总
OSSFS通过www账户挂载Bucket
OSS API设置LifeCycle提示时间格式错误
OSS开启访问日志
查找OSS Object的访问操作记录
OSS日志里面206代表什么
OSS的Bucket每天会自动生成名称中包含日期的Object
OSS数据操作常见问题FAQ
Bucket下出现异常文件如何排查
如何查看存储空间大小
OSS可创建Bucket个数限制,容量是否需要扩容?
如何删除Bucket
文件(object)管理
OSS怎么更改Object元数据信息
OSS中LifeCycle删除文件的策略
判断OSS文件被删除
OSS删除碎片文件
当Object名称中存在不可见字符如何处理?
OSS有哪些批量操作?
OSS静态文件的打开方式
OSS的gzip压缩如何使用?
IE浏览器中浏览OSS的object URL中文文件名乱码
OSS 如何设置 Content-Type(MIME)?
上传Object后如何获取访问URL
如何给文件重命名
如何修改、更新、编辑文件?
OSS上传文件大小限制
OSS SDK如何进行批量操作?
Java实现生成URL签名的代码示例
PHP实现OSS的签名URL
OSS如何通过sdk获取object的签名URL
OSS中的时间标准
控制台获取签名链接后过一段时间超时
调用oss sdk操作报错:SignatureDoesNotMatch
Object签名URL相关问题
签名错误 (signature not match)
API/SDK
OSS支持时间同步的sdk
nternal.aliyuncs.com...
Oss Java sdk实现listobject(列出所有的object)
使用OSS的javasdk的contentMD5出现log4j警告
OSS Java SDK超时&重传代码样例
测试版PHP SDK中不能自动检测所需PHP模块的原因
OSS API文档 “Date”字段的GMT格式说明
- assumed...
OSS API返回结果有JSON格式的吗?
Python sdk查询所有object列表
iOS SDK和Android SDK如何开启log?
OSS图片处理服务不支持ICO格式图片
OSS图片处理服务绑定域名时提示:域名绑定在自己的其他Bucket上
对象存储OSS控制台操作—图片鉴黄
OSS上传图片时exif信息处理规则
PHP SDK 2.0.1是否支持图片处理服务
OSS 图片处理服务配置文件缓存的方法
怎样用多个域名来使用oss图片服务
图片处理服务处理后的PNG图片的透明背景变黑
OSS 图片处理如何保护原始图片不被访问
OSS图片处理访问报Forbidden access to the original image错误的处理方法
使用图片处理服务,原图无法访问。报错accessdenied。
OSS图片处理服务导致CORS配置失效
OSS图片处理URL访问报错NoSuchStyle, NoSuchKey, NoSuchFile
图片的原图是正常的,被图片处理后就旋转了,该怎样处理
OSS图片处理对原图和缩略图的限制说明
OSS 如何将图片强制缩放成正方形并且不裁剪
图片处理服务是否可以支持跨域操作
OSS上传图片访问URL返回http code值为403
Bucket Owner可以在OSS控制台通过图形化和策略语法两种方式配置Bucket Policy。通过策略语法的方式配置Bucket Policy前,您需要先了解OSS Action、Resource以及Condition分类信息。详情请参见
RAM Policy概述
。
配置Bucket Policy时,如果授权用户选择了匿名账号(*),且不包含Condition的情况下,则Bucket Policy仅对Bucket Owner以外的所有用户生效。如果授权用户选择了匿名账号(*),且包含Condition的情况下,则Bucket Policy会对包含Bucket Owner在内的所有用户生效。
您可以添加多条Bucket Policy,但所有Bucket Policy的大小不允许超过16 KB。
方式一:图形化配置Bucket Policy
登录
OSS管理控制台
。
单击
Bucket列表
,然后单击目标Bucket名称。
单击
文件管理
页签,然后单击
授权
。
您也可以通过单击
,添加授权策略。
在
图形设置
页面,单击
新增授权
。
在
新增授权
页面配置各项参数,然后单击
确定
。
指定资源
:授权策略只针对指定的资源生效。您可以配置多条针对指定资源的授权策略。
针对目录级别授权
授权访问目录下的所有子目录和文件时,需在目录结尾处加上星号(*)。例如授权访问abc目录下的所有子目录和文件,则填写为
abc/*
。
针对指定文件授权
授权访问目录下的指定文件时,需填写不包含Bucket名称在内的文件的完整路径,例如授权访问abc目录下的myphoto.png文件,则填写为
abc/myphoto.png
。
注意
您的账号必须是阿里云账号,或拥有此Bucket管理权限及RAM控制台ListUsers权限的RAM用户,否则无法查看当前账号的RAM用户列表。给RAM用户授予ListUsers权限的具体操作请参见
为RAM用户授权
。
其他账号
:如果您需要给其他阿里云账号、RAM用户以及通过STS生成的临时用户授予访问权限,请选中此项。
当您需要给其他阿里云账号或RAM用户授权时,请输入被授权账号的UID。
当您需要给STS临时用户授权时,输入格式为
arn:sts::{RoleOwnerUid}:assumed-role/{RoleName}/{RoleSessionName}
。例如生成临时用户时使用的角色为testrole,角色拥有者的阿里云账号UID为12345,生成临时用户时指定的RoleSessionName为testsession。此时应填写
arn:sts::12345:assumed-role/testrole/testsession
。当您需要给所有临时用户授权时,请使用通配符星号(*)。例如配置为
arn:sts::*:*/*/*
。生成临时授权用户的操作请参见
使用STS临时访问凭证访问OSS
。
若针对某用户同时配置了多条Bucket Policy规则,则该用户所拥有的权限是所有Policy规则的叠加。当这些Bucket Policy中包含拒绝访问权限时,遵循拒绝访问权限优先原则。例如针对某用户第一次设置了只读权限,第二次设置了读/写权限,则该用户最终的权限为读/写。如果第三次设置了拒绝访问权限,则该用户最终的权限为拒绝访问。
只读、读/写、完全控制对应的授权效力为Allow,拒绝访问对应的授权效力为Deny。
您还可以在基础设置和高级设置模式下选中此项,用于限定只有满足条件的用户能够访问OSS资源。
访问方式
:默认支持HTTP和HTTPS两种访问方式。如果您希望当前授权策略通过HTTPS的方式来访问Bucket资源,请选择
HTTPS
。如果您希望当前授权策略通过HTTP的方式来访问Bucket资源,请选择
HTTP
。相比HTTP,HTTPS具有更高的安全性。
如果您需要强制Bucket内资源的所有请求访问方式为其中一种,例如HTTPS,您需要通过策略语法的方式来实现。具体设置方法,请参见
如何配置HTTPS请求和证书?
。
IP =
:设置IP等于某个IP地址或IP地址段。如有多个IP地址,各个IP地址之间用英文逗号(,)分隔。
IP ≠
:设置IP不等于某个IP地址或IP地址段。如有多个IP地址,各个IP地址之间用英文逗号(,)分隔 。
您可以根据实际使用场景,编辑不同的策略语法,用于实现更精细的权限管理。以下为资源拥有者(UID为
174649585760xxxx
)为不同授权场景配置的Bucket Policy示例。
允许匿名用户列举存储空间examplebucket下所有文件的权限。
{
"Statement": [
"Action": [
"oss:ListObjects",
"oss:ListObjectVersions"
"Effect": "Allow",
"Principal": [
"Resource": [
"acs:oss:*:174649585760xxxx:examplebucket"
"Version": "1"
示例2:拒绝源IP地址不在192.168.0.0/16范围内的匿名用户对存储空间examplebucket执行任何操作。{
"Version": "1",
"Statement": [
"Effect": "Deny",
"Action": "oss:*",
"Principal": [
"Resource": [
"acs:oss:*:174649585760xxxx:examplebucket"
"Condition":{
"NotIpAddress": {
"acs:SourceIp": ["192.168.0.0/16"]
示例3:允许指定的RAM用户(UID为20214760404935xxxx)拥有目标存储空间examplebucket下hangzhou/2020和hangzhou/2015目录的只读权限。{
"Statement": [
"Action": [
"oss:GetObject",
"oss:GetObjectAcl",
"oss:GetObjectVersion",
"oss:GetObjectVersionAcl"
"Effect": "Allow",
"Principal": [
"20214760404935xxxx"
"Resource": [
"acs:oss:*:174649585760xxxx:examplebucket/hangzhou/2020/*",
"acs:oss:*:174649585760xxxx:examplebucket/hangzhou/2015/*"
"Action": [
"oss:ListObjects",
"oss:ListObjectVersions"
"Condition": {
"StringLike": {
"oss:Prefix": [
"hangzhou/2020/*",
"hangzhou/2015/*"
"Effect": "Allow",
"Principal": [
"20214760404935xxxx"
"Resource": [
"acs:oss:*:174649585760xxxx:examplebucket"
"Version": "1"
单击保存。
访问授权资源
Bucket Policy配置完成后,您可以通过以下方式访问授权资源:
文件URL(仅当授权对象为匿名用户时) 在浏览器上,使用Bucket默认域名或自有域名加文件路径进行访问。例如http://mybucket.oss-cn-beijing.aliyuncs.com/file/myphoto.png。详情请参见OSS访问域名使用规则。
控制台 登录OSS控制台,在左边菜单栏单击我的访问路径后的加号(+),添加授权访问的Bucket和文件路径。具体操作,请参见设置我的访问路径。
命令行工具ossutil 使用被授权的账号通过ossutil访问授权资源。具体操作,请参见ossutil。
图形化工具ossbrowser 使用被授权的账号登录ossbrowser,登录时在预设OSS路径栏输入被授权访问的文件目录。具体操作,请参见ossbrowser。
OSS SDK 支持通过Java、PHP、Node.js、Python、Browser.js、.NET、Android、Go、iOS、C++、C SDK访问授权资源。
