对象存储
API文档
- 强一致性
- OSS与文件系统的对比
- 兼容S3 API 概述
- 兼容签名认证
- 服务器域名
- 兼容公共头
- 兼容接口
- 兼容接口概览
- 关于Service操作
- 关于Bucket操作
- Delete Bucket
- Delete Bucket cors
- Delete Bucket encryption
- Delete Bucket policy
- Delete Bucket replication
- Delete Bucket website
- Delete Bucket lifecycle
- GET Bucket acl
- GET Bucket notification
- Get Bucket(ListObjects)
- Get Bucket cors
- Get Bucket encryption
- Get Bucket policy
- Get Bucket replication
- Get Bucket website
- Get Bucket lifecycle
- Head Bucket
- List Multipart Uploads
- PUT Bucket notification
- Put Bucket
- Put Bucket ACL
- Get Bucket tagging
- Put Bucket cors
- Put Bucket encryption
- Get Bucket accelerate
- Put Bucket policy
- Put Bucket replication
- Put Bucket website
- Get Bucket object lock configuration
- Delete Bucket InventoryConfiguration
- Put Bucket tagging
- Put Bucket accelerate
- Put Bucket object lock configuration
- Get Bucket InventoryConfiguration
- List Bucket InventoryConfigurations
- Put Bucket lifecycle
- Put Bucket InventoryConfiguration
- 关于Object操作
- Abort Multipart Upload
- Delete Multiple Objects
- Delete Object
- Get Object
- List Parts
- Head Object
- Upload Part
- Upload Part Copy
- Post Object Restore
- Get Object legal hold
- Get Object retention
- Put Object legal hold
- Put Object retention
- Complete Multipart Upload
- Get Object Tagging
- Initiate Multipart Upload
- Post Object
- Put Object
- Put Object Copy
- Put Object Tagging
- Select Object Content(公测)
- 错误响应
- 扩展接口
- 旧版OSS API 简介
API文档
- 强一致性
- OSS与文件系统的对比
- 兼容S3 API 概述
- 兼容签名认证
- 服务器域名
- 兼容公共头
- 兼容接口
- 兼容接口概览
- 关于Service操作
- 关于Bucket操作
- Delete Bucket
- Delete Bucket cors
- Delete Bucket encryption
- Delete Bucket policy
- Delete Bucket replication
- Delete Bucket website
- Delete Bucket lifecycle
- GET Bucket acl
- GET Bucket notification
- Get Bucket(ListObjects)
- Get Bucket cors
- Get Bucket encryption
- Get Bucket policy
- Get Bucket replication
- Get Bucket website
- Get Bucket lifecycle
- Head Bucket
- List Multipart Uploads
- PUT Bucket notification
- Put Bucket
- Put Bucket ACL
- Get Bucket tagging
- Put Bucket cors
- Put Bucket encryption
- Get Bucket accelerate
- Put Bucket policy
- Put Bucket replication
- Put Bucket website
- Get Bucket object lock configuration
- Delete Bucket InventoryConfiguration
- Put Bucket tagging
- Put Bucket accelerate
- Put Bucket object lock configuration
- Get Bucket InventoryConfiguration
- List Bucket InventoryConfigurations
- Put Bucket lifecycle
- Put Bucket InventoryConfiguration
- 关于Object操作
- Abort Multipart Upload
- Delete Multiple Objects
- Delete Object
- Get Object
- List Parts
- Head Object
- Upload Part
- Upload Part Copy
- Post Object Restore
- Get Object legal hold
- Get Object retention
- Put Object legal hold
- Put Object retention
- Complete Multipart Upload
- Get Object Tagging
- Initiate Multipart Upload
- Post Object
- Put Object
- Put Object Copy
- Put Object Tagging
- Select Object Content(公测)
- 错误响应
- 扩展接口
- 旧版OSS API 简介
- 云数据库与缓存
- 云数据库 RDS云数据库 MongoDB分布式数据库 TiDB分布式关系型数据库 DRDS云缓存 Redis云缓存 Memcached云数据库 InfluxDB数据仓库 JDW数据传输 DTS分析型云数据库 JCHDB
- 云安全
- DDoS 基础防护DDoS 防护包Web 应用防火墙IP 高防主机安全安全说明SSL 数字证书态势感知应用安全网关密钥管理服务基线检测服务渗透测试服务应急响应服务漏洞扫描服务网站威胁扫描等保咨询服务数据加密服务网络安全重保服务安全培训安全通告服务代码审计服务安全咨询服务安全众测服务安全攻防演练服务PCI DSS 合规服务电子签章内容安全实名认证服务数据库审计DDoS 定制防护服务风险识别设备指纹安全运营中心验证码京东云星盾安全加速
- 人工智能
- NeuFoundry语音识别语音合成-基础音库人脸对比人脸搜索人脸检测与属性分析人脸活体检测词法分析句法分析情感分析短文本相似度评论观点抽取文本分类身份证识别行驶证识别银行卡识别通用文字识别营业执照识别增值税发票识别人体关键点检测人体检测特定人物识别拍照购智能鉴黄菜品识别商品竞争力分析车辆检测声纹识别语音合成-精品音库驾驶证识别车牌识别词向量词义相似度智能分诊新品定制老品升级细分市场划分品牌竞争力分析智能写作人脸口罩识别行人重识别细粒度人像分割通用图片搜索垃圾分类疫情物资识别商品图片搜索通用商品识别
- 智能IDC
- 机柜租赁带宽产品IT 设备安装定制巡检IDC 现场技术支持网络架构规划服务IDC 资产管理服务分布式接入服务服务器与网络监控服务一站式硬件解决方案服务网络托管运维服务托管物理计算云物理服务器云托管边缘物理计算服务数据同步服务边缘托管服务
产品文档
-
弹性计算
云主机云硬盘原生容器Kubernetes 集群容器镜像仓库高可用组弹性伸缩 -
网络
私有网络应用负载均衡网络负载均衡分布式网络负载均衡弹性公网 IP共享带宽包专线服务弹性网卡VPNNAT 网关 -
云数据库与缓存
云数据库 RDS云数据库 MongoDB分布式数据库 TiDB分布式关系型数据库 DRDS云缓存 Redis云缓存 Memcached云数据库 InfluxDB数据仓库 JDW数据传输 DTS分析型云数据库 JCHDB -
存储
对象存储存储网关云文件服务 -
CDN
CDN -
域名与备案
域名服务备案服务云解析 DNSHTTPDNS -
云安全
DDoS 基础防护DDoS 防护包Web 应用防火墙IP 高防主机安全安全说明SSL 数字证书态势感知应用安全网关密钥管理服务基线检测服务渗透测试服务应急响应服务漏洞扫描服务网站威胁扫描等保咨询服务数据加密服务网络安全重保服务安全培训安全通告服务代码审计服务安全咨询服务安全众测服务安全攻防演练服务PCI DSS 合规服务电子签章内容安全实名认证服务数据库审计DDoS 定制防护服务风险识别设备指纹安全运营中心验证码京东云星盾安全加速 -
大数据与分析
JMRBI 报表京东城市莫奈可视化平台 -
管理
云监控云拨测资源编排访问控制DevOps标签管理目录服务日志服务操作审计堡垒机云事件服务身份通用户池项目管理京东智联云 App -
人工智能
NeuFoundry语音识别语音合成-基础音库人脸对比人脸搜索人脸检测与属性分析人脸活体检测词法分析句法分析情感分析短文本相似度评论观点抽取文本分类身份证识别行驶证识别银行卡识别通用文字识别营业执照识别增值税发票识别人体关键点检测人体检测特定人物识别拍照购智能鉴黄菜品识别商品竞争力分析车辆检测声纹识别语音合成-精品音库驾驶证识别车牌识别词向量词义相似度智能分诊新品定制老品升级细分市场划分品牌竞争力分析智能写作人脸口罩识别行人重识别细粒度人像分割通用图片搜索垃圾分类疫情物资识别商品图片搜索通用商品识别 -
智能IDC
机柜租赁带宽产品IT 设备安装定制巡检IDC 现场技术支持网络架构规划服务IDC 资产管理服务分布式接入服务服务器与网络监控服务一站式硬件解决方案服务网络托管运维服务托管物理计算云物理服务器云托管边缘物理计算服务数据同步服务边缘托管服务 -
京东云市场
云市场 -
VR 云服务
VR 直播VR 点播VR 播放器 SDK -
视频服务
视频直播媒体处理服务视频点播移动直播 SDK短视频 SDK视频电商播放器 SDK视频质量检测视音频通信 -
互联网中间件
消息队列 JCQAPI 网关云搜索 Elasticsearch微服务平台API 中心消息队列 Kafka 版分布式协调服务 Zookeeper 版 -
区块链
区块链数据服务智臻链 BaaS 平台 -
开发者工具
代码托管云编译云部署流水线性能测试制品库 -
解决方案
Oracle 上云云安全白皮书 -
混合云
云纳管云迁移云容灾 -
物联网
物联网引擎物联网中心物联网协议适配物联网智能边缘计算物联网设备 SDK京鱼座设备池开放物联网操作系统车主出行服务设备接入服务智能生活物联网平台 -
智能城市 AI
企业风险预警模型客源地预测模型火灾风险推断模型空气质量预测水质量预测门店选址评分门店营收预测路径通行时间预测人流量预测车流量预测订单流量预测车流量缺失值填补人流量缺失值填补空气质量缺失值填补水质量缺失值填补 -
财务相关
账户资产在线购买付款方式发票计费代金券合同管理提货券 -
用户服务
账户管理实名认证消息中心操作保护 -
服务协议与保障
平台协议版权声明100倍故障赔偿产品服务协议服务内容联系我们 -
云通信
文本短信富媒体短信物联网连接服务 -
专有云
京东云敏捷专有云超融合版京东云敏捷专有云京东云混合云
对象存储
- 产品简介
- 产品定价
- 入门指南
- 操作指南
- API文档
- 强一致性
- OSS与文件系统的对比
- 兼容S3 API 概述
- 兼容签名认证
- 服务器域名
- 兼容公共头
- 兼容接口
- 兼容接口概览
- 关于Service操作
- 关于Bucket操作
- Delete Bucket
- Delete Bucket cors
- Delete Bucket encryption
- Delete Bucket policy
- Delete Bucket replication
- Delete Bucket website
- Delete Bucket lifecycle
- GET Bucket acl
- GET Bucket notification
- Get Bucket(ListObjects)
- Get Bucket cors
- Get Bucket encryption
- Get Bucket policy
- Get Bucket replication
- Get Bucket website
- Get Bucket lifecycle
- Head Bucket
- List Multipart Uploads
- PUT Bucket notification
- Put Bucket
- Put Bucket ACL
- Get Bucket tagging
- Put Bucket cors
- Put Bucket encryption
- Get Bucket accelerate
- Put Bucket policy
- Put Bucket replication
- Put Bucket website
- Get Bucket object lock configuration
- Delete Bucket InventoryConfiguration
- Put Bucket tagging
- Put Bucket accelerate
- Put Bucket object lock configuration
- Get Bucket InventoryConfiguration
- List Bucket InventoryConfigurations
- Put Bucket lifecycle
- Put Bucket InventoryConfiguration
- 关于Object操作
- Abort Multipart Upload
- Delete Multiple Objects
- Delete Object
- Get Object
- List Parts
- Head Object
- Upload Part
- Upload Part Copy
- Post Object Restore
- Get Object legal hold
- Get Object retention
- Put Object legal hold
- Put Object retention
- Complete Multipart Upload
- Get Object Tagging
- Initiate Multipart Upload
- Post Object
- Put Object
- Put Object Copy
- Put Object Tagging
- Select Object Content(公测)
- 错误响应
- 扩展接口
- 旧版OSS API 简介
- SDK文档
- 最佳实践
- 常见问题
- API参考
- 用户协议
Bucket Policy最佳实践
由于京东云对象存储的空间权限管理功能升级,为确保不影响您的业务使用及对新版权限功能即Bucket Policy的理解,本文档将给出相关说明。
在Bucket Policy功能上线后,原有的Bucket ACL将从只有“私有读写”和“公有读私有写”扩展为支持“私有读写”、“公有读私有写”、“公有读写”和“自定义权限”,其中“自定义权限”作为Bucket的高级权限设置,您可以在自定义权限中对用户(包括主用户与子用户)和资源进行授权管理;
在此次功能升级之后,控制台中原有的防盗链Referer设置必须在“自定义权限”的Bucket Policy中进行设置,具体内容可参考下图:
为保障已经设置了Bucket ACL和防盗链Referer的Bucket在上线前后系统行为一致(规则语义不变),若您之前设置了防盗链Referer,则对权限策略进行平滑迁移,各种情况下的鉴权逻辑如下:
| 原Bucket ACL | 原Referer规则 | Bucket Policy上线后处理方式 | 规则说明 |
|---|---|---|---|
| 公有读私有写 | 允许Referer为空 白名单中未添加任何Referer |
系统为您自动添加一条Policy,格式为:Statement: [ {"Action":["s3:GetObject"], "Effect":"Allow", "Principal":"*", "Condition":{"StringLike":{"aws:Referer":[""]}} } ] | 语义为只允许空Referer的请求访问 |
| 公有读私有写 | 允许Referer为空 白名单中添加了某条或某些Referer 如www.test.com |
系统为您自动添加一条Policy,格式为:Statement:[ {"Action":["s3:GetObject"], "Effect":"Allow", "Principal":"*", "Condition":{"StringLike":{"aws:Referer":["", "www.test.com"]}} } ] | 语义为允许空Referer或命中白名单中指定Referer的请求访问 |
| 公有读私有写 | 不允许Referer为空 白名单中未添加任何Referer |
系统不会为您添加任何Policy规则 | 该Bucket的权限将置为系统默认权限,即Private,语义为全部请求默认拒绝 |
| 公有读私有写 | 不允许Referer为空 白名单中添加了某条或某些Referer 如www.test.com |
系统为您自动添加一条Policy,格式为:{"Action":["s3:GetObject"], "Effect":"Allow", "Principal":"*", "Condition":{"StringLike":{"aws:Referer":["www.test.com"]}} }] | 语义为只允许命中白名单中指定Referer的请求访问 |
| 公有读私有写 | 允许Referer为空 黑名单中添加了某条或某些Referer 如www.test.com |
系统为您自动添加一条Policy,格式为{"Action":"s3:GetObject", "Effect":"Allow", "Principal": "*", "Condition": { "NotStringLike": {"Referer": "www.test.com"}}} | 语义为拒绝来自某个Refer的请求 |
| 私有读写 | 由于原版防盗链规则只对公有读私有写的存储空间生效,所以此处可以忽略原规则 | 系统不会为您添加任何Policy规则 | 该Bucket的权限将置为系统默认权限,即Private,语义为全部请求默认拒绝 |
目前所有的权限都设置在Bucket级别,我们可以对每个Bucket设置多条规则(Statement),每条规则会对一个请求产生Allow,Deny两种结果,每个Policy可以有多个规则(Statement),一个Policy下最多允许有10个Statements,Bucket Policy示例及语义解释:
复制成功
{
"Statement":[
{
"Condition":{
"StringLike":{
"aws:Referer":[
"",
"www.abc.com",
"*.123.com"
]
}
},
"Resource":[
"arn:aws:s3:::ztctest1/*"
],
"Action":[
"s3:GetObject"
],
"Principal":{
"AWS":"*"
},
"Sid":"Refereracl",
"Effect":"Allow"
}
],
"Id":"referer-acl",
"Version":"2012-10-17"
}
细节说明:
Version:可选填字段,Version作为Policy版本号,无具体格式和内容限制,示例中是以时间作为版本标识
Id:可选填字段,用Id作为Policy的标识,无具体格式和内容限制
Statement:必填字段,为Policy中的主体内容,其中各子项释义为:
| 元素 | 含义 | 必填 |
|---|---|---|
| Sid | 该规则的注释字符串 | 否 |
| Effect | 匹配该规则时产生的效果,可选值为Allow或Deny,释义为"允许操作"或"拒绝操作" | 是 |
| Principal | 为该Policy影响所到的用户,需要填入用户ID,默认值为*,即对全部用户生效 | 是 |
| Action | 该规则中生效的操作,可选值为s3:GetObject、s3:PutObject、s3:DeleteObject、s3:ListBucket、s3:DeleteBucket | 是 |
| Resource | 为影响的资源名称或资源范围,格式为arn:aws:s3::examplebucket/*,语义为对examplebucket下的全部资源有效 | 是 |
| Condition | 规则生效的条件,目前支持Referer和SourceIP | 否 |
上例中的语义最终解释为:对全部用户,允许命中白名单中指定Referer(即www.example.com)的请求访问该Bucket下的全部资源
更新时间:2019-06-26 19:28:23