STS临时授权访问OSS设置

OSS可以通过阿里云STS(Security Token Service)进行临时授权访问。通过STS,您可以为第三方应用或子用户(即用户身份由您自己管理的用户)颁发一个自定义时效和权限的访问凭证。


使用场景

对于您本地身份系统所管理的用户,例如您的App的用户,将这部分用户称为联盟用户。通过阿里云STS服务为阿里云账号(或RAM用户)提供临时访问权限管理。您不需要透露云账号(或RAM用户)的长期密钥(如登录密码、AccessKey),只需要生成一个临时访问凭证给联盟用户使用即可。这个凭证的访问权限及有效期限都可以由您自定义。您不需要关心权限撤销问题,临时访问凭证过期后会自动失效。


实现原理

以一个移动App举例。假设您是一个移动App开发者,打算使用阿里云OSS服务来保存App的终端用户数据,并且要保证每个App用户之间的数据隔离,防止一个App用户获取到其他App用户的数据。您可以使用STS授权用户直接访问OSS。

使用STS授权用户直接访问OSS的流程如下:



1,App用户登录。App用户和云账号无关,它是App的终端用户,App服务器支持App用户登录。对于每个有效的App用户来说,需要App服务器能定义出每个App用户的最小访问权限。

2,App服务器请求STS服务获取一个安全令牌(SecurityToken)。在调用STS之前,App服务器需要确定App用户的最小访问权限(用RAM Policy来自定义授权策略)以及凭证的过期时间。然后通过扮演角色(AssumeRole)来获取一个代表角色身份的安全令牌(SecurityToken)。

3,STS返回给App服务器一个临时访问凭证,包括一个安全令牌(SecurityToken)、临时访问密钥(AccessKeyId和AccessKeySecret)以及过期时间。

4,App服务器将临时访问凭证返回给App客户端,App客户端可以缓存这个凭证。当凭证失效时,App客户端需要向App服务器申请新的临时访问凭证。例如,临时访问凭证有效期为1小时,那么App客户端可以每30分钟向App服务器请求更新临时访问凭证。

5,App客户端使用本地缓存的临时访问凭证去请求OSS API。OSS收到访问请求后,会通过STS服务来验证访问凭证,正确响应用户请求。



操作步骤

您可以通过OSS SDK与STS SDK的结合使用,实现使用STS临时授权访问OSS。假设有一个名为ram-test的Bucket用于存储用户数据,现将通过用户子账号(RAM用户)结合STS实现OSS权限控制访问。


第一步 创建子账号

RAM控制台 》 人员管理菜单下 》 新建用户 》 选择编程访问 》 生成AccessKey ID 和 AccessKey Secret

选中创建的子账号,单击添加权限。

在添加权限页面,为已创建的子账号添加 AliyunSTSAssumeRoleAccess 权限。


第二步 创建权限策略

RAM控制台 》权限管理菜单 》新建权限策略 》脚本配置

{
  "Version": "1",
  "Statement": [
   {
      "Effect": "Allow",
      "Action": [
       "oss:PutObject"
      ],
      "Resource": [
       "acs:oss:*:*:bucket-name/test",
       "acs:oss:*:*:bucket-name/test/*" //限制到最后一级可访问路径。
      ]
   }
  ]
}


第三步 创建角色ARN

RAM角色管理 》 新建RAM角色,选择实体类型为阿里云账号 》选择云账号为当前云账号。

为角色授权 》添加权限页面,选择自定义权限策略,添加步骤2中创建的权限策略

角色的ID。页面如下图所示:


第四步,可以使用STS

var policy = '{ \
                  "Statement": [ \
                      { \
                          "Effect": "Allow", \
                          "Action": "oss:*",\
                          "Resource": [ \
                              "acs:oss:*:*:palace", \
                              "acs:oss:*:*:palace/*" \
                          ] \
                      }\
                  ],\
                  "Version": "1"\
              }';
console.log({
  accessKeyId: config.oss.ram1.accessKeyId,
  accessKeySecret: config.oss.ram1.accessKeySecret
});
const client = new STS({
  accessKeyId: config.oss.ram1.accessKeyId,
  accessKeySecret: config.oss.ram1.accessKeySecret
});
var result = await client.assumeRole(config.oss.ram1.roleArn, policy, config.oss.ram1.tokenExpireTime);
var response = {
  AccessKeyId: result.credentials.AccessKeyId,
  AccessKeySecret: result.credentials.AccessKeySecret,
  SecurityToken: result.credentials.SecurityToken,
  Expiration: result.credentials.Expiration
}
return ctx.body = response;


备注:

创建用户,创建权限,创建角色。用户和角色都要关联创建的权限即可。


参考:

https://help.aliyun.com/document_detail/32068.html

修改时间 2024-03-05

声明:本站所有文章和图片,如无特殊说明,均为原创发布。商业转载请联系作者获得授权,非商业转载请注明出处。
真诚赞赏,手留余香
赞赏
随机推荐
用 JavaScript 实现数字增加滚动动画
SQL 注入的生命力
WordPress 侧边栏小工具
PHP curl 的用法
Nginx 使用 Njs 授权访问文件
River 主题
WordPress 常用接口
Debian11 安装笔记2:编译安装PHP