公司OSS上的资料仅允许公司内部访问，但是若AccessKey不小心泄露的话，任何人都可以通过AccessKey访问公司内部资源。最安全的办法就是更换accessKey，但公司业务太多，更换的成本很大。这种情况下，公司可以通过设置Bucket Policy授权禁止或授权某些IP访问来进行补救。

登陆对象存储控制台，选择一个Bucket，在弹出的页面上点击文件管理→授权。

默认情况下没有任何授权策略。所有人都可以访问，我们来测试一下，打开一个云服务器，使用ossutill，通过A公司的AccessKey连接A公司账号后，可以任意下载Bucket内的资源。

我们来设置一个策略，禁止非本公司员工访问这个Bucket。

回到授权页面，点击新增授权，在弹出的对话框中选择授权资源为整个Bucket，授权用户选择所有用户，选择拒绝访问权限，条件选择IP不等于，设置IP地址为公司外网出口IP地址，之后点击确定完成操作。

重新打开云服务器，现在已经无法下载此Bucket的资源了，但公司内部的电脑仍然可以执行下载操作。

更多信息参见：对象存储 OSS > 使用Bucket Policy授权其他用户访问OSS资源

---

原文地址：https://aliyunnew.com/a/How-to-remedy-the-accidental-leak-of-AccessKey-accessing-OSS.html