您可以为存储空间(Bucket)创建多个接入点(Access Point),并对不同的接入点配置不同的访问控制权限及网络控制策略。通过在不同业务场景使用不同的接入点进行访问,降低大规模的共享数据集数据访问管理的复杂度。
接入点主要用于简化对大规模的共享数据集的访问权限控制管理的场景。例如:
某客户管理数十个App客户端,不同的App客户端要求对同一个Bucket不同目录下的数据拥有不同的访问权限。
某客户将企业所有的数据均存储于同一个Bucket,要求企业内部数十甚至数百个团队仅能访问指定目录或指定的文件。
限制项 | 说明 |
创建方式 | 仅支持通过OSS控制台、API和ossutil的方式创建接入点。不支持通过SDK的方式创建接入点。 |
数量 |
|
修改规则 | 创建接入点后,仅支持修改接入点策略,不支持修改接入点基础信息,例如接入点名称、接入点别名等。 |
访问方式 | 不支持匿名访问。 |
创建接入点
使用接入点
AP Policy与Bucket Policy以及RAM Policy的关系
默认情况下,OSS资源(包括Bucket和Object)默认为私有权限。只有资源拥有者或被授权的用户可以访问这些资源。您可以通过多种权限控制策略授权他人访问或使用您的OSS资源。只有通过OSS鉴权,才能访问授权资源。 请求类型
OSS支持通过设置Bucket Policy和ACL来实现公共访问。公共访问无需特定权限或身份验证,容易引发数据泄露和外网下行流量的风险。OSS支持在OSS全局、单个Bucket、单个接入点和单个对象FC接入点的维度一键开启阻止公共访问,以避免公共访问可能带来的风险。开启后,已有的公共访问权限会被忽
当您希望粗粒度地控制某个Bucket的读写权限,即Bucket内的所有Object均为统一的读写权限时,您可以选择使用Bucket ACL的方式。Bucket ACL包含公共读、公共读写和私有。您可以在创建Bucket时设置Bucket ACL,也可以在创建Bucket后根据自身的业务需求修改Buc
您可以使用Object ACL为Bucket中的某个Object设置特定的读写权限。Object ACL可以精确控制某个Object的访问权限,不影响其他Object。Object ACL包含公共读、公共读写、私有三种类型。您可以在上传Object时设置ACL,也可以在上传后随时修改。
OSS支持面向资源的授权方式,允许在Bucket级别而不是用户级别设置权限策略。使用Bucket Policy可以授权当前云账号或者其他阿里云账号下单个或多个RAM用户、RAM角色等访问Bucket内的指定资源。Bucket Policy除提供策略语法的授权方式以外,还提供了图形化界面的授权方式,助
Bucket Policy是OSS提供的一种针对存储空间(Bucket)的授权策略,使您可以精细化地授权或限制有身份的访问者(阿里云账号、RAM用户、RAM角色)或匿名访问者对指定OSS资源的访问。例如,您可以为其他阿里云账号的RAM用户授予指定OSS资源的只读权限。 通用说明 与RAM Polic
