全部產品
Search
文件中心

Resource Access Management:行動裝置 App使用臨時安全性權杖訪問阿里雲

更新時間:Jun 19, 2024

本文介紹行動裝置 App如何使用RAM角色的臨時安全性權杖(STS Token)訪問阿里雲資源。

背景資訊

企業A開發了一款行動裝置 App(App),併購買了Object Storage Service服務。App需要直連OSS上傳或下載資料,但是App運行在使用者自己的行動裝置上,這些裝置不受企業A的控制。

企業A有如下要求:

  • 直傳資料:企業A不希望所有App都通過企業的服務端應用伺服器(Application Server)來進行資料中轉,而希望能夠直連OSS上傳或下載資料。
  • 安全管控:企業A不希望將存取金鑰(AccessKey)儲存到行動裝置中,因為行動裝置是歸屬於使用者控制,屬於不可信的運行環境。
  • 風險控制:企業A希望將風險控制到最小,每個App直連OSS時都必須擁有最小的存取權限且訪問時效需要很短。

解決方案

當行動裝置 App(App)直連OSS上傳或下載資料時,App需要嚮應用伺服器申請訪問憑證。應用伺服器以RAM使用者身份扮演RAM角色,調用STS API AssumeRole介面擷取臨時安全性權杖,並將臨時安全性權杖傳遞給App,App使用臨時安全性權杖訪問OSS。

行動裝置應用訪問阿里雲
  1. App嚮應用伺服器申請訪問憑證。
  2. 使用阿里雲帳號A建立一個RAM角色,並為RAM角色授予合適的許可權。
    具體操作,請參見建立RAM角色並授權
  3. 使用阿里雲帳號A為應用伺服器建立一個RAM使用者,並允許應用伺服器以RAM使用者身份扮演該RAM角色。
    具體操作,請參見建立RAM使用者並允許扮演RAM角色
  4. 應用伺服器通過調用STS API AssumeRole介面擷取RAM角色的臨時安全性權杖。
  5. 應用伺服器可以進一步限制臨時安全性權杖的許可權,以更精細地控制每個App的許可權。
    具體操作,請參見限制臨時安全性權杖的許可權
  6. 當App需要直連OSS上傳或下載資料時,可以使用臨時安全性權杖訪問OSS進行資料直傳。

建立RAM角色並授權

假設阿里雲帳號A的帳號ID為123456789012****

  1. 使用阿里雲帳號A建立可信實體為阿里雲帳號的RAM角色oss-objectmanager
    說明 建立RAM角色時選擇當前雲帳號作為受信阿里雲帳號,即只允許阿里雲帳號A下的RAM使用者來扮演該RAM角色。

    具體操作,請參見建立可信實體為阿里雲帳號的RAM角色

    RAM角色建立成功後,在角色基本資料頁面可以查看到該RAM角色的ARN和信任策略。

    • RAM角色的ARN為acs:ram::123456789012****:role/oss-objectmanager
    • RAM角色的信任策略如下。
      說明 以下策略表示只允許阿里雲帳號A下的RAM使用者來扮演RAM角色。
      {
          "Statement": [{
              "Action": "sts:AssumeRole",
              "Effect": "Allow",
              "Principal": {
                  "RAM": [
                      "acs:ram::123456789012****:root"
                  ]
              }
          }],
          "Version": "1"
      }
  2. 為RAM角色授權。為RAM角色oss-objectmanager授予OSS的系統管理權限AliyunOSSFullAccess

    具體操作,請參見為RAM角色授權

建立RAM使用者並允許扮演RAM角色

  1. 使用阿里雲帳號A為應用伺服器建立RAM使用者appserver

    具體操作,請參見建立RAM使用者

  2. 為建立好的RAM使用者授予AliyunSTSAssumeRoleAccess許可權,即允許RAM使用者扮演RAM角色。

    具體操作,請參見為RAM使用者授權

應用伺服器擷取臨時安全性權杖

  1. 應用伺服器使用RAM使用者的存取金鑰調用STS AssumeRole介面。
    說明 必須配置應用伺服器的存取金鑰,而非阿里雲帳號A的存取金鑰。

    使用阿里雲CLI調用AssumeRole的樣本如下。

    • 請求樣本
      aliyuncli sts AssumeRole --RoleArn acs:ram::123456789012****:role/oss-objectmanager --RoleSessionName client-001
    • 返回樣本
      {
           "AssumedRoleUser": {
               "AssumedRoleId": "391578752573****:client-001", 
               "Arn": "acs:ram::123456789012****:role/oss-objectmanager/client-001"
           }, 
           "Credentials": {
               "AccessKeySecret": "93ci2umK1QKNEja6WGqi1Ba7Q2Fv9PwxZqtVF2Vy****", 
               "SecurityToken": "********", 
               "Expiration": "2016-01-13T15:02:37Z", 
               "AccessKeyId": "STS.F13GjskXTjk38dBY6YxJt****"
           }, 
           "RequestId": "E1779AAB-E7AF-47D6-A9A4-53128708B6CE"
       }
    說明 上述樣本未指定Policy參數,因此返回的臨時安全性權杖將擁有RAM角色oss-objectmanager的所有許可權。您也可以額外限制臨時安全性權杖的許可權,更多資訊,請參見限制臨時安全性權杖的許可權
  2. STS服務將臨時安全性權杖返回給應用伺服器。返回的臨時安全性權杖中包含AccessKeyIdAccessKeySecretSecurityToken
    說明 SecurityToken到期時間較短。如果需要一個較長的到期時間,應用伺服器需要重新頒發臨時安全性權杖,例如:每隔1800秒頒發一次。

限制臨時安全性權杖的許可權

線上上系統,請務必通過使用Policy參數來根據使用者或裝置限制不同臨時安全性權杖的許可權,避免越權風險。以下是此參數的使用樣本。

以下樣本表示:只允許下載sample-bucket/2015/01/01/*.jpg

  • 請求樣本
    aliyuncli sts AssumeRole --RoleArn acs:ram::123456789012****:role/oss-objectmanager --RoleSessionName client-002 --Policy "{\"Version\":\"1\", \"Statement\": [{\"Effect\":\"Allow\", \"Action\":\"oss:GetObject\", \"Resource\":\"acs:oss:*:*:sample-bucket/2015/01/01/*.jpg\"}]}"
    說明 臨時安全性權杖到期時間預設值為3600秒,通過DurationSeconds參數可以設定到期時間。更多資訊,請參見AssumeRole - 擷取扮演角色的臨時身份憑證
  • 返回樣本
    {
       "AssumedRoleUser": {
           "AssumedRoleId": "391578752573****:client-002", 
           "Arn": "acs:ram::123456789012****:role/oss-objectmanager/client-002"
       }, 
       "Credentials": {
           "AccessKeySecret": "28Co5Vyx2XhtTqj3RJgdud4ntyzrSNdUvNygAj7x****", 
           "SecurityToken": "********", 
           "Expiration": "2016-01-13T15:03:39Z", 
           "AccessKeyId": "STS.FJ6EMcS1JLZgAcBJSTDG1****"
       }, 
       "RequestId": "98835D9B-86E5-4BB5-A6DF-9D3156ABA567"
    }

App使用臨時安全性權杖並訪問OSS

  1. 應用伺服器將臨時安全性權杖傳遞給App。
  2. App使用臨時安全性權杖訪問OSS。

    下面是阿里雲CLI使用臨時安全性權杖訪問OSS的樣本。

    • 配置臨時安全性權杖

      文法:aliyuncli oss Config --host --accessid --accesskey --sts_token

      aliyuncli oss Config --host oss.aliyuncs.com --accessid STS.FJ6EMcS1JLZgAcBJSTDG1**** --accesskey 28Co5Vyx2XhtTqj3RJgdud4ntyzrSNdUvNygAj7x**** --sts_token CAESnQMIARKAASJgnzMzlXVyJn4KI+FsysaIpTGm8ns8Y74HVEj0pOevO8ZWXrnnkz4a4rBEPBAdFkh3197GUsprujsiU78FkszxhnQPKkQKcyvPihoXqKvuukrQ/Uoudk31KAJEz5o2EjlNUREcxWjRDRSISMzkxNTc4NzUyNTczOTcyODU0KgpjbGllbnQtMDAxMKmZxIHBKjoGUnNhTUQ1Qn8KATEaegoFQWxsb3cSJwoMQWN0aW9uRXF1YWxzEgZBY3Rpb24aDwoNb3NzOkdldE9iamVjdBJICg5SZXNvdXJjZUVxdWFscxIIUmVzb3VyY2UaLAoqYWNzOm9zczoqOio6c2FtcGxlLWJ1Y2tldC8yMDE1LzAxLzAxLyouanBnSgU0MzI3NFIFMjY4NDJaD0Fzc3VtZWRSb2xlVXNlcmAAahIzOTE1Nzg3NTI1NzM5NzI4NTRyCWVjcy1hZG1pbnjgxt7Cj/bo****
    • 訪問OSS
      aliyuncli oss Get oss://sample-bucket/2015/01/01/grass.jpg