概述
阿里云对象存储OSS支持用户使用HTTPS和HTTP协议访问OSS的Bucket资源,但由于HTTP访问存在安全漏洞,为防止OSS遭受攻击,需要使用HTTPS方式访问OSS资源。本文主要介绍如何实现通过HTTPS方式访问OSS资源。
详细信息
实现通过HTTPS访问OSS资源有多种方法,可根据实际环境,选择以下方法进行HTTPS访问:
如果您对实例或数据有修改、变更等风险操作,务必注意实例的容灾、容错能力,确保数据安全。
如果您对实例(包括但不限于ECS、RDS)等进行配置与数据修改,建议提前创建快照或开启RDS日志备份等功能。
如果您在阿里云平台授权或者提交过登录账号、密码等安全信息,建议您及时修改。
通过OSS自有域名方式
OSS服务提供的自有域名支持HTTPS方式访问,您可以通过登录OSS管理控制台,在Bucket列表中,单击Bucket名称,然后单击概览,在访问端口区域查看Bucket的域名和HTTPS支持情况。
测试访问URL的效果如下。 
OSS提供的自有域名目前是有限制的,对于图片、静态HTML资源访问会直接变成下载的方式,不支持在线预览,建议绑定自定义域名。
通过Bucket绑定自定义域名方式
OSS提供了Bucket绑定自有域名功能,绑定域名后通过自己的域名来进行访问。具体操作,请参见绑定域名。您也可以对于绑定的域名设置证书托管从而实现支持HTTPS方式访问。关于如何进行配置证书托管,请参见托管证书。
如果您需要强制Bucket内资源的所有请求访问方式为其中一种,例如HTTPS,您需要通过策略语法的方式来实现。具体设置方法,请参见如何配置HTTPS请求和证书。
通过CDN加速OSS方式
CDN加速本身提供了HTTPS的配置方式,所以也可以通过CDN加速配置加速OSS资源,配置加速域名证书的方式来间接实现HTTPS的访问。
对象存储OSS绑定CDN加速域名的方法,请参见OSS绑定CDN加速。
CDN加速域名如何配置HTTPS证书,请参见CDN加速域名配置HTTPS证书。
通过反向代理方式
在ECS实例中安装Nginx服务,通过反向代理的方式实现HTTPS访问。更多信息,请参见基于CentOS的ECS实例实现OSS反向代理。
HTTPS访问异常排查
通过HTTPS访问OSS资源异常的排查方法如下:
排查证书是否异常,如截图所示,查看浏览器解析的证书是否匹配,特别是在OSS自有域名和CDN加速OSS的域名访问中,需要注意证书和域名匹配的情况。
通过浏览器访问出现链接被终止的错误信息,您需要检查域名是否配置HTTPS证书,然后再使用
telnet命令测试443端口的连通性,确认可以连接。
相关文档
如果需要授权用户通过HTTPS访问指定资源,请参见通过Bucket Policy授权用户访问指定资源。