公司OSS上的资料仅允许公司内部访问,但是若AccessKey不小心泄露的话,任何人都可以通过AccessKey访问公司内部资源。最安全的办法就是更换accessKey,但公司业务太多,更换的成本很大。这种情况下,公司可以通过设置Bucket Policy授权禁止或授权某些IP访问来进行补救。
登陆对象存储控制台,选择一个Bucket,在弹出的页面上点击文件管理→授权。
默认情况下没有任何授权策略。所有人都可以访问,我们来测试一下,打开一个云服务器,使用ossutill,通过A公司的AccessKey连接A公司账号后,可以任意下载Bucket内的资源。
我们来设置一个策略,禁止非本公司员工访问这个Bucket。
回到授权页面,点击新增授权,在弹出的对话框中选择授权资源为整个Bucket,授权用户选择所有用户,选择拒绝访问权限,条件选择IP不等于,设置IP地址为公司外网出口IP地址,之后点击确定完成操作。
重新打开云服务器,现在已经无法下载此Bucket的资源了,但公司内部的电脑仍然可以执行下载操作。
更多信息参见:对象存储 OSS > 使用Bucket Policy授权其他用户访问OSS资源
原文地址:https://aliyunnew.com/a/How-to-remedy-the-accidental-leak-of-AccessKey-accessing-OSS.html