文件存储NAS SMB ACL概述
本文简要介绍NAS SMB ACL卷的根目录默认值、相关特性及工作原理。背景信息 ACL权限控制表是一项重要的企业级特性。在SMB文件系统不连通AD...文件服务器根据Session的用户信息和文件系统的目录或文件的访问权限配置,允许或者拒绝用户访问。
自定义RAM Policy
因此需要授予用户 acs:ots:[region]:[user_id]:instance/*资源的读取权限,对于批量操作API(例如BatchGetRow、BatchWriteRow),后端服务会对被访问的每张表分别鉴权,只有所有表都通过鉴权才能执行操作,否则会返回权限错误。表格存储 的...
管控策略概述
如何避免指定云服务的访问被管控 管控策略将对被管控成员中的资源访问权限限定边界,边界之外的权限将不允许生效,此限定同样影响阿里云服务对该成员访问的有效性。阿里云服务可能使用服务角色访问您账号中的资源,以实现云服务的某些功能...
403错误
Access denied by bucket policy 问题原因:通过Bucket Policy的授权访问被拒绝。解决方案:请结合不同的使用场景灵活配置Bucket Policy。详情请参见 通过Bucket Policy授权用户访问指定资源。Access denied by VPC endpoint policy 问题...
授予安全访问代理权限
实例开启安全访问代理后,您需要获得相应的安全访问代理权限。经授权后,除了可以在DMS中使用该数据库,您还可以通过安全访问代理生成的代理地址访问该数据库实例。请参考文档进行授权操作。前提条件 实例已开启安全访问代理。开启方法,请...
实现指定用户访问特定UDF最佳实践
因此您可以通过Policy方案实现特定UDF被指定用户访问:如果您不想让其他用户访问工作空间内具体的资源,在DataWorks中添加数据开发者权限后,再根据Role Policy的操作,在MaxCompute客户端将其配置为拒绝访问权限。如果您需要指定用户访问...
实现指定用户访问特定UDF最佳实践
因此您可以通过Policy方案实现特定UDF被指定用户访问:如果您不想让其他用户访问工作空间内具体的资源,在DataWorks中添加数据开发者权限后,再根据Role Policy的操作,在MaxCompute客户端将其配置为拒绝访问权限。如果您需要指定用户访问...
普通安全组与企业级安全组
其他任何入方向流量,将会被拒绝访问(序号2)。序号(优先级顺序)规则类型 流量类型 处理动作 1 自定义规则 排序后多个安全组自定义规则匹配的流量 允许或拒绝(根据授权策略)2 默认访问控制规则(不可见)其他任何流量 拒绝 出方向:与...
如何对OSS进行访问权限控制
概述 本文主要介绍如何对阿里云对象存储OSS进行访问权限控制,使OSS资源访问更加安全。详细信息 OSS提供多种方式将OSS资源权限授予给其他用户,您可以使用以下几种机制来控制对OSS资源访问的权限,从而确保数据安全。设置存储空间ACL:通过...
管理文件访问权限
OSS允许您对文件(Object)设置访问权限,方便您控制资源访问的方式。注意事项 当您使用webpack或browserify等打包工具时,请通过 npm install ali-oss 的方式安装Browser.js SDK。通过浏览器访问OSS时涉及跨域请求,如果未设置跨域规则,...
权限策略概览
权限指在某种条件下允许或拒绝对某些资源执行某些操作,权限策略是一组访问权限的集合。权限(Permission)阿里云使用权限来描述用户、用户组、角色对具体资源的访问能力,下面为您介绍云账号、RAM用户、资源创建者所拥有的权限:云账号...
阿里云身份与权限
实体用户扮演成功后将获得RAM角色的临时身份凭证,即安全令牌(STS Token),使用STS Token就能以RAM角色身份访问被授 权的资源。RAM角色支持的可信实体如下表。可信实体 使用场景 相关文档 阿里云账号 主要用于解决跨账号访问和临时授权...
阿里云身份与权限
实体用户扮演成功后将获得RAM角色的临时身份凭证,即安全令牌(STS Token),使用STS Token就能以RAM角色身份访问被授权的资源。RAM角色支持的可信实体如下表。可信实体 使用场景 相关文档 阿里云账号 主要用于解决跨账号访问和临时授权...
对象存储自定义权限策略参考
创建自定义权限策略后,需要为RAM用户、用户组或RAM角色绑定权限策略,这些RAM身份才能获得权限策略中指定的访问权限。已创建的权限策略支持删除,但删除前需确保该策略未被引用。如果该权限策略已被引用,您需要在该权限策略的引用记录中...
云盒Bucket Policy
当这些Bucket Policy中包含拒绝访问权限时,遵循拒绝访问权限优先原则。例如针对某用户第一次设置了只读权限,第二次设置了读/写权限,则该用户最终的权限为读/写。如果第三次设置了拒绝访问权限,则该用户最终的权限为拒绝访问。只读、读/...
OSS私有Bucket回源
注意事项 首次使用该功能时,需要进行默认权限策略的一键开启操作,开启后将会授予 DCDN 产品对您同账号下OSS产品的所有Bucket的只读访问权限(默认的访问权限使用STS临时令牌来访问OSS Bucket,不支持通过该功能对OSS Bucket进行PUT等写入...
UpdateOIDCProvider-修改OIDC身份提供商
ID Token 中的 iat 字段如果距离当前时间大于这个值则请求会被拒绝。单位:小时。取值范围:1~168。6 关于公共请求参数的详情,请参见 公共参数。返回参数 名称 类型 描述 示例值 object 返回结果。RequestId string 请求 ID。E4C4D1BD-...
扮演RAM角色时的权限策略判定流程
合并逻辑与通用的 权限策略判定流程 不同,只有当基于身份的策略判定(判定结果A)和基于资源的策略判定(判定结果B)全部是Allow(允许)时,扮演RAM角色的请求才会被允许,其他情况均会被拒绝。具体如下:如果判定结果A和判定结果B中存在...
OSS私有Bucket回源
注意事项 首次使用该功能时,需要进行默认权限策略的一键开启操作,开启后将会授予 CDN 产品对您同账号下OSS产品的所有Bucket的只读访问权限(默认的访问权限使用STS临时令牌来访问OSS Bucket,不支持通过该功能对OSS Bucket进行PUT等写入...
访问控制
ACL是授予Bucket和Object访问权限的访问策略。您可以在创建存储空间(Bucket)或上传对象(Object)时配置ACL,也可以在创建Bucket或上传Object后的任意时间内修改ACL。Bucket ACL Bucket ACL是Bucket级别的权限访问控制。目前有三种访问...
访问控制
表格存储 中的Instance Policy是基于资源的授权策略,可以为单个实例配置访问权限。不同权限控制方式的适用对应以及能实现的授权场景说明请参见下表。权限控制方式 适用场景 归属服务 适用对象 授权说明 RAM Policy 单一阿里云账号下多个...
OSS如何与RAM协同工作
访问控制RAM(Resource Access Management)是阿里云提供的一项服务,可以帮助您集中管理用户身份与资源访问权限。企业内有多名员工或应用程序需要访问对象存储(以下简称OSS)的资源时,可以使用RAM服务做统一的权限管理,按需为他们分配...
密钥管理服务如何与RAM协同工作
访问控制RAM(Resource Access Management)是阿里云提供的一项服务,可以帮助您集中管理用户身份与资源访问权限。企业内有多名员工或应用程序需要访问KMS的资源时,可以使用RAM服务做统一的权限管理,按需为他们分配不同的访问权限。在...
0003-00000301
问题描述 请求被STS Token Policy所拒绝。问题原因 该报错是获取STS Token代码中的Policy参数的授权问题导致。问题示例 比如下面Java获取Token的Demo代码所示,其中的Policy设置代表Token的Policy权限设置,最终的Token权限是用户角色的...
CreateOIDCProvider-创建OIDC身份供应商
ID Token 中的 iat 字段如果距离当前时间大于这个值则请求会被拒绝。单位:小时。取值范围:1~168。6 关于公共请求参数的详情,请参见 公共参数。返回参数 名称 类型 描述 示例值 object 返回结果。RequestId string 请求 ID。64B11B41-636...
智能媒体服务自定义权限策略参考
授予智能媒体服务部分资源的只读访问权限 {"Version":"1","Statement":[{"Action":["ice:GetMediaProducingJob","ice:GetEditingProject","ice:GetMediaInfo","ice:ListMediaBasicInfos","ice:SearchEditingProject"],"Resource":"*",...
用户身份识别
192.168.xx.xx 决策 允许 拒绝 说明 当某个资源同时被授予了允许和拒绝的权限策略,则优先拒绝的策略生效。允许 如上表中的参数示例值所示,表示某客户端在接入服务端时,可使用ACL用户名user_mq及其用户密码进行身份认证,即在客户端消息...
发起请求概述
扮演成功后实体用户将获得RAM角色的临时访问凭证,即安全令牌(STS Token),使用安全令牌就能以RAM角色身份访问被授权的资源。RAM角色的临时访问凭证只能按照STS定义的规则去访问Bucket里的资源。访问域名 您可以向OSS提供的默认访问域名...
创建RAM角色并授权
扮演成功后,可信实体将获得RAM角色的临时身份凭证,即安全令牌(STS Token),使用该安全令牌就能以RAM角色身份访问被授权的资源。RAM角色类型 根据不同的可信实体,RAM角色分为以下三类:可信实体为阿里云账号的RAM角色:允许RAM用户扮演...
物联网平台RAM授权说明
扮演成功后,可信实体将获得RAM角色的临时身份凭证,即安全令牌(STS Token),使用该安全令牌就能以RAM角色身份访问被授权的资源。使用示例 物联网平台典型使用场景的自定义权限策略 使用RAM用户访问物联网平台控制台 RAM用户扮演RAM角色...
GetOIDCProvider-查询OIDC身份提供商信息
ID Token 中的 iat 字段如果距离当前时间大于这个值则请求会被拒绝。单位:小时。取值范围:1~168。12 示例 正常返回示例 JSON 格式 {"RequestId":"E5E1A300-279D-5FBD-A8CF-F4EDC20C4896","OIDCProvider":{"UpdateDate":"2021-11-12T08:38...
授权信息
访问控制(RAM)是阿里云提供的管理用户身份与资源访问权限的服务。使用RAM可以让您避免与其他用户共享阿里云账号密钥,并可按需为用户授予最小权限。RAM中使用权限策略描述授权的具体内容。本文为您介绍 访问控制(RAM)为RAM权限策略定义...
Bucket Policy
当这些Bucket Policy中包含拒绝访问权限时,遵循拒绝访问权限优先原则。例如针对某用户第一次设置了只读权限,第二次设置了读/写权限,则该用户最终的权限为读/写。如果第三次设置了拒绝访问权限,则该用户最终的权限为拒绝访问。只读、读/...
RAM用户常见问题
如果被授权的RAM用户所属的主账号是资源目录的成员,且资源目录启用并设置了拒绝访问某资源的管控策略,则RAM用户无权访问该资源。此时,您需要联系资源目录的管理账号,修改或解绑该管控策略。具体操作如下:确定资源目录成员所属的资源...
ListOIDCProviders-查询OIDC身份提供商列表
ID Token 中的 iat 字段如果距离当前时间大于这个值则请求会被拒绝。单位:小时。取值范围:1~168。12 IsTruncated boolean 请求返回结果是否被截断。取值:true:已截断。false:未截断。false Marker string 当 IsTruncated 为 true 时才...
降低因账号密码泄露带来的未授权访问风险
修改ACL为私有访问权限 除非您明确要求包括匿名访问者在内的任何人都能读写您的OSS资源,包括存储空间(Bucket)以及文件(Object),否则请勿将Bucket或者Object的读写权限ACL设置为公共读(public-read)或者公共读写(public-read-write...
基本概念
扮演成功后,可信实体将获得RAM角色的临时身份凭证,即安全令牌(STS Token),使用该安全令牌就能以RAM角色身份访问被授权的资源。根据不同的可信实体类型,RAM角色分为以下几种:可信实体为阿里云账号的RAM角色:该角色主要用于解决跨...
OSS鉴权详解
默认情况下,为保证存储在OSS中数据的安全性,OSS资源(包括Bucket和Object)默认为私有权限,只有资源拥有者或被授权的用户允许访问。如果要授权他人访问或使用自己的OSS资源,可以通过多种权限控制策略向他人授予资源的特定权限。仅当...
表格存储自定义权限策略参考
创建自定义权限策略后,需为RAM用户、用户组或RAM角色绑定权限策略,这些RAM身份才能获得权限策略中指定的访问权限。已创建的权限策略支持删除,但删除前需确保该策略未被引用。如果该权限策略已被引用,您需要在该权限策略的引用记录中...
MaxCompute数据访问权限控制
本文为您介绍MaxCompute数据访问权限管控。前提条件 已了解 MaxCompute数据权限控制详情。已了解 简单模式和标准模式的区别。背景信息 DataWorks通过空间预设角色与空间自定义角色与开发环境引擎Role映射,来让被授予空间角色的RAM用户拥有...
- 产品推荐
- 这些文档可能帮助您