官方公众号企业安全新浪微博

FreeBuf+小程序把安全装进口袋

• Web安全

前言

现在越来越多的应用开始上云，那么存储也从原来的本地存储迁移到了云上。云上用的最多的就是OSS，如果OSS的配置不正确，那么可能造成严重的风险，甚至导致全部数据泄露。

OSS的基本知识

先来了解一下OSS的基本知识

什么是OSS

OSS的英文全称是Object Storage Service，翻译成中文就是「对象存储服务」，官方一点解释就是对象存储是一种使用HTTP API存储和检索非结构化数据和元数据对象的工具。

白话文解释就是将系统所要用的文件上传到云硬盘上，该云硬盘提供了文件下载、上传等一列服务，这样的服务以及技术可以统称为OSS。

OSS常用的概念

1.存储空间（Bucket）

存储空间是您用于存储对象（Object）的容器，所有的对象都必须隶属于某个存储空间。

2.对象/文件（Object）

对象是 OSS 存储数据的基本单元，也被称为OSS的文件。对象由元信息（Object Meta）、用户数据（Data）和文件名（Key）组成。对象由存储空间内部唯一的Key来标识。

3.地域（Region）

地域表示 OSS 的数据中心所在物理位置。您可以根据费用、请求来源等综合选择数据存储的地域。详情请查看OSS已经开通的Region。

4.访问域名（Endpoint）

Endpoint 表示OSS对外服务的访问域名。OSS以HTTP RESTful API的形式对外提供服务，当访问不同地域的时候，需要不同的域名。通过内网和外网访问同一个地域所需要的域名也是不同的。具体的内容请参见各个Region对应的Endpoint。

5.访问密钥（AccessKey）

AccessKey，简称 AK，指的是访问身份验证中用到的AccessKeyId 和AccessKeySecret。OSS通过使用AccessKeyId 和AccessKeySecret对称加密的方法来验证某个请求的发送者身份。AccessKeyId用于标识用户，AccessKeySecret是用户用于加密签名字符串和OSS用来验证签名字符串的密钥，其中AccessKeySecret 必须保密。

OSS的权限设置

下面以阿里云OSS进行说明。

阿里云OSS的权限分为了下面四种，如下图（来自阿里云OSS官网）

详细的可以看下面的链接：https://help.aliyun.com/zh/oss/user-guide/access-and-control/?spm=a2c4g.11186623.0.0.450c482axZlEw9

访问OSS的方式

1）通过阿里云控制台访问bucket

2）使用命令行工具ossutil

3）使用图形化管理工具ossbrowser

4）使用阿里云SDK

5）使用REST API

OSS域名访问规则

OSS是可以绑定域名访问的，一般遵循下面的规则，以阿