不小心泄露了访问OSS的AccessKey该如何补救?

  1. 云栖社区>
  2. 【阿里云】云大使推广计划>
  3. 博客>
  4. 正文

不小心泄露了访问OSS的AccessKey该如何补救?

云上珠玑 2019-08-11 08:25:58 浏览3158
展开阅读全文

公司OSS上的资料仅允许公司内部访问,但是若AccessKey不小心泄露的话,任何人都可以通过AccessKey访问公司内部资源。最安全的办法就是更换accessKey,但公司业务太多,更换的成本很大。这种情况下,公司可以通过设置Bucket Policy授权禁止或授权某些IP访问来进行补救。

登陆对象存储控制台,选择一个Bucket,在弹出的页面上点击文件管理→授权。

image

默认情况下没有任何授权策略。所有人都可以访问,我们来测试一下,打开一个云服务器,使用ossutill,通过A公司的AccessKey连接A公司账号后,可以任意下载Bucket内的资源。

image

image

我们来设置一个策略,禁止非本公司员工访问这个Bucket。

回到授权页面,点击新增授权,在弹出的对话框中选择授权资源为整个Bucket,授权用户选择所有用户,选择拒绝访问权限,条件选择IP不等于,设置IP地址为公司外网出口IP地址,之后点击确定完成操作。

image

image

image

重新打开云服务器,现在已经无法下载此Bucket的资源了,但公司内部的电脑仍然可以执行下载操作。

image

更多信息参见:对象存储 OSS > 使用Bucket Policy授权其他用户访问OSS资源


原文地址:https://aliyunnew.com/a/How-to-remedy-the-accidental-leak-of-AccessKey-accessing-OSS.html

网友评论

登录后评论
0/500
评论
云上珠玑
+ 关注