全部产品
Search

搜索本产品

    CDN:Konfigurasikan pengambilan asal dari bucket OSS pribadi

    文档中心

    CDN:Konfigurasikan pengambilan asal dari bucket OSS pribadi

    更新时间:Dec 16, 2025

    Jika nama domain yang dipercepat Anda menggunakan bucket Alibaba Cloud Object Storage Service (OSS) pribadi untuk mengautentikasi akses dan mencegah lalu lintas yang tidak sah, Anda dapat mengaktifkan fitur pengambilan asal untuk bucket OSS pribadi. Fitur ini memungkinkan Anda menggunakan CDN untuk mempercepat resource di dalam bucket OSS pribadi tersebut.

    Cara kerja dan manfaatnya

    • Cara kerja: Setelah fitur ini diaktifkan, CDN secara otomatis menambahkan bidang Authorization ke header setiap permintaan asal yang dikirim ke bucket OSS pribadi Anda. Nilai bidang tersebut berupa signature yang valid, dihasilkan dari informasi identitas yang Anda otorisasi, seperti token temporary Security Token Service (STS) atau AccessKey. OSS menggunakan signature ini untuk mengautentikasi permintaan tersebut.

    • Akses aman: Dengan memberikan izin read-only kepada CDN, Anda dapat memastikan legitimasi permintaan asal. Pendekatan ini menghindari risiko keamanan yang terkait dengan menjadikan bucket pribadi menjadi publik.

    • Optimalisasi biaya: Saat permintaan pengguna akhir dilayani oleh cache CDN, biaya trafik jauh lebih rendah dibandingkan biaya lalu lintas Internet keluar dari akses langsung ke OSS. Selain itu, trafik dari CDN ke OSS ditagih sebagai lalu lintas sumber, yang memiliki harga satuan lebih rendah daripada lalu lintas Internet keluar dari OSS. Kombinasi ini secara efektif mengurangi biaya keseluruhan Anda. Untuk informasi selengkapnya, lihat Penagihan resource OSS yang dipercepat CDN.

    Prosedur

    Proses konfigurasi mencakup dua langkah: pertama, lakukan otorisasi sekali untuk akun Anda, lalu aktifkan fitur tersebut untuk nama domain yang dipercepat tertentu.

    1. Berikan akses CDN ke OSS. Sebelum menggunakan fitur ini untuk pertama kalinya pada domain apa pun di akun Anda, Anda harus memberikan izin CDN untuk mengakses OSS. Ini adalah otorisasi tingkat akun yang hanya perlu dilakukan sekali. Jika Anda tidak diminta untuk mengotorisasi, Anda dapat melewati langkah ini.

      (Direkomendasikan) Otorisasi di konsol

      1. Masuk ke Konsol CDN.

      2. Di panel navigasi sebelah kiri, klik Domain Names.

      3. Pada halaman Domain Names, temukan nama domain yang ingin Anda kelola dan klik Manage.

      4. Di panel navigasi sebelah kiri untuk nama domain tersebut, klik Origin Fetch.

      5. Di bagian Alibaba Cloud OSS Private Bucket Access, klik Authorize. Pada halaman konfirmasi otorisasi, klik Authorize.

        image

      Otorisasi manual melalui RAM

      1. Masuk ke Konsol RAM.

      2. Di panel navigasi sebelah kiri, klik Permissions > Policies.

      3. Pada halaman Policies, klik Create Policy.

      4. Pada tab JSON, masukkan kebijakan berikut.

        5. {
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "oss:List*",
                "oss:Get*"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

      5. Klik OK. Pada halaman Create Policy, masukkan informasi berikut dan klik OK.

      6. Atur Policy Name menjadi AliyunCDNAccessingPrivateOSSRolePolicy.

      7. Atur Description menjadi "Kebijakan otorisasi ini digunakan untuk role yang digunakan oleh CDN/DCDN untuk melakukan pengambilan asal dari bucket OSS pribadi. Kebijakan ini mencakup izin read-only untuk OSS."

      Di panel navigasi sebelah kiri, klik Identities > Roles.

      1. Pada halaman Roles, klik Create Role.

      2. Atur Principal Type menjadi Alibaba Cloud Account, pilih Current Alibaba Cloud Account untuk Principal Name, lalu klik OK.

      3. Pada langkah Create Role, masukkan informasi berikut.

      4. Atur Role Name menjadi AliyunCDNAccessingPrivateOSSRole.

      Setelah role dibuat, klik AliyunCDNAccessingPrivateOSSRole di daftar role pada halaman Roles untuk membuka halaman detail role tersebut.

      1. Pada tab Trust Policy, klik Edit Trust Policy, masukkan informasi berikut, lalu klik OK.

        2. {
  "Statement": [
    {
      "Action": "sts:AssumeRole",
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "cdn.aliyuncs.com"
        ]
      }
    }
  ],
  "Version": "1"
}

      2. Beralih ke tab Grants. Klik Grant Permission.

      3. Resource Scope: Account

      4. Principal: Pilih AliyunCDNAccessingPrivateOSSRole yang telah Anda buat.

      5. Authorization Policy: Pilih Custom Policy, pilih AliyunCDNAccessingPrivateOSSRolePolicy yang telah Anda buat, lalu klik Grant permissions.

      Kembali ke halaman Origin Fetch di konsol CDN. Otorisasi untuk fitur Alibaba Cloud OSS Private Bucket Access kini telah selesai.

    2. Aktifkan Alibaba Cloud OSS Private Bucket Access dan konfigurasikan tipe pengambilan asal.

      1. Temukan bagian Alibaba Cloud OSS Private Bucket Access dan nyalakan sakelarnya.

      2. Pada kotak dialog Alibaba Cloud OSS Private Bucket Access, pilih tipe pengambilan asal lalu klik OK.

        Origin fetch type

        Origin fetch type

        Recommended use case

        Bucket in the Same Account

        (Direkomendasikan) Cocok untuk kasus di mana CDN dan bucket OSS berada di bawah Akun Alibaba Cloud yang sama. Sistem secara otomatis menggunakan token STS temporary untuk autentikasi. Hal ini menyederhanakan konfigurasi, menghilangkan kebutuhan untuk mengelola kunci, serta memberikan keamanan yang lebih tinggi.

        Bucket Across Accounts or in the Same Account

        Cocok untuk kasus di mana CDN dan bucket OSS berada di bawah Akun Alibaba Cloud yang berbeda. Metode ini juga mendukung skenario akun yang sama. Anda perlu secara manual menyediakan ID AccessKey dan Rahasia AccessKey dari Akun Alibaba Cloud tempat bucket OSS pribadi tujuan berada. Untuk informasi selengkapnya, lihat Buat Pasangan Kunci Akses.

        Catatan

        • Ruang lingkup akses: Setelah Anda mengaktifkan fitur ini, nama domain yang dipercepat dapat mengakses semua resource di bucket pribadi asalnya. Anda tidak dapat membatasi akses hanya ke resource tertentu dalam bucket melalui CDN.

        • Konflik signature: Untuk mencegah kegagalan autentikasi OSS, pastikan permintaan asal tidak berisi signature baik di header permintaan maupun di parameter URL.

        • Konflik fitur: Fitur ini bertentangan dengan konfigurasi halaman indeks default dari fitur hosting situs web statis di OSS. Untuk menggunakan kedua fitur secara bersamaan, lihat dokumen terkait.

    Saran keamanan

    Setelah Anda mengaktifkan pengambilan asal dari bucket pribadi, data asal Anda aman. Namun, resource yang di-cache di POP secara default dapat diakses publik. Untuk mencegah penggunaan trafik CDN yang tidak sah, kami sangat menyarankan Anda menggunakan fitur keamanan berikut yang disediakan oleh CDN:

    Nonaktifkan pengambilan asal dari bucket OSS pribadi

    Jika Anda tidak lagi ingin nama domain yang dipercepat mengakses resource di bucket pribadi, cabut otorisasi di konsol RAM. Tindakan ini mencabut izin yang memungkinkan CDN melakukan pengambilan asal dari bucket OSS pribadi tersebut.

    1. Anda dapat menonaktifkan fitur ini di konsol CDN.

      1. Masuk ke Konsol CDN.

      2. Di panel navigasi sebelah kiri, klik Domain Names.

      3. Pada halaman Domain Names, temukan nama domain yang ingin Anda kelola dan klik Manage.

      4. Di panel navigasi sebelah kiri untuk nama domain tersebut, klik Origin Fetch.

      5. Di bagian Alibaba Cloud OSS Private Bucket Access, matikan sakelar Alibaba Cloud OSS Private Bucket Access.

    2. Hapus sepenuhnya otorisasi di konsol RAM.

      1. Masuk ke Konsol RAM.

      2. Di panel navigasi sebelah kiri, klik Identities > Roles.

      3. Di daftar Role Name, klik role AliyunCDNAccessingPrivateOSSRole.

        image

      4. Hapus semua izin dari role AliyunCDNAccessingPrivateOSSRole.

        1. Klik Revoke Permission untuk izin tersebut.

        2. Pada kotak dialog konfirmasi yang muncul, klik Revoke Permission.

      5. Kembali ke halaman Identities > Roles dan hapus role AliyunCDNAccessingPrivateOSSRole.

        1. Klik Delete Role untuk role AliyunCDNAccessingPrivateOSSRole.

        2. Pada kotak dialog konfirmasi Delete Role, klik Delete Role.

      6. Kembali ke halaman Permission Management > Policies dan hapus kebijakan AliyunCDNAccessingPrivateOSSRolePolicy.

        1. Klik tombol Delete Policy untuk AliyunCDNAccessingPrivateOSSRolePolicy.

        2. Pada kotak dialog konfirmasi Delete Policy, masukkan nama kebijakan lalu klik Delete Policy.

    FAQ

    Bagaimana cara mengatasi error This request is forbidden by kms. saat CDN mengakses resource OSS?

    Jika Anda menggunakan Key Management Service (KMS) untuk mengenkripsi data di bucket OSS Anda, Anda harus memberikan izin tambahan kepada role pengambilan asal CDN untuk menggunakan kunci KMS. Jika tidak, CDN tidak dapat mendekripsi atau mengakses file tersebut, dan error This request is forbidden by kms. akan dikembalikan.

    1. Masuk ke Konsol RAM.

    2. Di panel navigasi sebelah kiri, pilih Identities > Roles.

    3. Di daftar Role Name, temukan role AliyunCDNAccessingPrivateOSSRole.

    4. Klik Grant Permission. Bidang Principal akan diisi secara otomatis.

    5. Di bawah Policy, pilih System Policy. Cari lalu klik AliyunKMSCryptoUserAccess untuk menambahkannya ke kotak Selected Policy.

    6. Klik Grant Permissions. Pesan akan menunjukkan bahwa operasi telah selesai.

    7. Klik Close.

      image

    8. Gunakan fitur Refresh Resources. Setelah tugas refresh selesai, coba akses kembali resource tersebut.

    Referensi

    Praktik terbaik penggunaan CDN untuk mempercepat akses ke resource OSS