安全策略定义OOS资源的访问权限,作用于所配置的存储桶及存储桶内文件(Object)。OOS存储桶拥有者通过安全策略可为IAM用户或其他帐号授权存储桶及存储桶内文件的操作权限,具体包括:
- 允许/拒绝Bucket级别的权限。
- 允许/拒绝Object级别的权限。
存储桶的安全策略是由效果、被授权用户、资源、动作和条件5个桶策略基本元素共同决定,详细的Bucket Policy格式请参见Bucket Policy元素。
说明如果存储桶(Bucket)的属性为私有或者公共读,配置允许任何用户可以向该Bucket写文件的策略时,需要联系天翼云客服进行备案。
在存储桶列表页面点击 属性 >安全策略 ,进入安全策略页面,在该页面点击 编辑策略 ,可以添加Bucket Policy。
Policy示例如下:
- Referer设置(防盗链设置)
如果要配置名称为"example-bucket"的bucket的访问策略,只允许Referer头为以“http://www.mysite.com/”或“http://mysite.com/” 开头的http请求访问此Bucket,那么可以采用如下的配置方式。如果也允许Referer头为空的请求访问Bucket,那么可以在"ctyun:Referer"中加一个空串。
{
"Version":"2012-10-17",
"Id":"*",
"Statement":[
{
"Sid":"*",
"Effect":"Allow",
"Principal":{ "CTYUN": ["*"] },
"Action":"oos:*",
"Resource":"arn:ctyun:oos:::example-bucket/*",
"Condition":{
"StringLike":{
"ctyun:Referer":[
"http://www.mysite.com/*",
"http://mysite.com/*",
""
]
}
}
}
]
}
- IP设置
如果用户希望只允许IP地址在192.168.143.0/24范围内的IP访问此Bucket,不允许IP地址在"192.168.143.188/32"范围内的IP访问,那么可以采用下面的配置方式。
{
"Version": "2012-10-17",
"Id": "PolicyId1",
"Statement": [
{
"Sid": "IPAllow",
"Effect": "Allow",
"Principal": {
"CTYUN": "*"
},
"Action": "oos:*",
"Resource": "arn:ctyun:oos::: example-bucket/*",
"Condition" : {
"IpAddress" : {
"ctyun:SourceIp": "192.168.143.0/24"
},
"NotIpAddress" : {
"ctyun:SourceIp": "192.168.143.188/32"
}
}
}
]
}