All Products
Search

This Product

    Object Storage Service:Kontrol akses ganda dengan kebijakan VPC dan bucket

    Document Center

    Object Storage Service:Kontrol akses ganda dengan kebijakan VPC dan bucket

    Last Updated:May 08, 2026

    Menggabungkan kebijakan VPC dan kebijakan bucket menciptakan kontrol akses berlapis ganda untuk OSS. Pendekatan ini mengamankan data Anda dengan mengontrol akses baik di tingkat sumber jaringan maupun tingkat resource, sehingga secara efektif mengurangi risiko akses tidak sah dan pencurian data.

    Cara kerja

    Alih-alih hanya mengandalkan kebijakan bucket, solusi kontrol ganda ini menambahkan kebijakan VPC untuk membentuk model keamanan berlapis yang menerapkan kerangka kerja otorisasi di sisi sumber dan validasi di sisi tujuan, sehingga secara signifikan meningkatkan keamanan akses data. Kebijakan VPC membatasi bucket mana saja yang dapat diakses dari sumber jaringan tertentu, memungkinkan pengelolaan izin detail halus dan isolasi risiko. Sementara itu, kebijakan bucket memvalidasi sumber akses di tujuan penyimpanan, memastikan bahwa hanya permintaan dari VPC yang diizinkan yang dapat mengakses resource tersebut.

    • Akses yang diizinkan: Saat Anda mengakses bucket yang diizinkan dari dalam VPC yang diizinkan, kedua kebijakan memberikan akses.

    • Akses yang ditolak:

      • Penolakan oleh kebijakan VPC: Permintaan dari VPC yang diizinkan mencoba mengakses bucket yang tidak diizinkan oleh kebijakan VPC.

      • Penolakan oleh kebijakan bucket: Permintaan mencoba mengakses bucket dari VPC yang tidak diizinkan.

    Implementasi

    Bagian ini menyajikan skenario untuk menunjukkan cara mengonfigurasi kontrol akses ganda. Seorang pengguna enterprise (UID: 174649585760xxxx) menyimpan data bisnis kritis di bucket OSS bernama example-bucket. Aplikasi mereka berjalan pada beberapa instance ECS dalam VPC dengan ID vpc-t4nlw426y44rd3iq4xxxx. Untuk mengikuti prinsip hak istimewa minimal, semua akses bisnis dilakukan menggunakan AccessKey dari RAM user bernama example-user (UID: 20655703638807****). Anda perlu mencapai tujuan kontrol akses berikut:

    • Kontrol sisi sumber VPC: Batasi VPC agar hanya mengizinkan akses ke resource OSS tertentu, yaitu example-bucket.

    • Kontrol sisi tujuan bucket: Tolak semua permintaan akses OSS yang tidak berasal dari VPC tertentu.

    Langkah 1: Konfigurasikan kebijakan VPC

    Buat kebijakan titik akhir untuk VPC dengan ID vpc-t4nlw426y44rd3iq4xxxx untuk membatasi aksesnya hanya ke resource dalam example-bucket di OSS.

    1. Buka VPC console. Di panel navigasi sebelah kiri, klik Endpoints.

    2. Klik Create Endpoint dan konfigurasikan titik akhir dengan pengaturan berikut.

      Jika ini pertama kalinya Anda menggunakan endpoint, Anda harus terlebih dahulu Activate Endpoint Service.

      • Region: Pilih wilayah tempat VPC berada, misalnya Singapore.

      • Endpoint Name: Masukkan nama untuk titik akhir.

      • Endpoint Type: Pilih Gateway Endpoint.

      • Endpoint Service: Pilih Alibaba Cloud Service, lalu pilih layanan titik akhir OSS dari daftar. Nama layanan diakhiri dengan oss.

      • VPC: Pilih VPC target.

      • Route Table: Pilih tabel rute target.

      • Endpoint Policy: Masukkan kebijakan berikut di editor.

        {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "oss:*",
      "Principal": [
        "20655703638807****"
      ],
      "Resource": [
        "acs:oss:*:*:example-bucket",
        "acs:oss:*:*:example-bucket/*"
      ]
    }
  ]
}

    3. Setelah Anda mengonfirmasi konfigurasi, klik OK.

    Langkah 2: Konfigurasikan kebijakan bucket

    Konfigurasikan kebijakan bucket untuk menolak permintaan akses ke resource OSS dari VPC mana pun selain vpc-t4nlw426y44rd3iq4xxxx.

    1. Buka daftar Buckets dan klik bucket target.

    2. Di panel navigasi sebelah kiri bucket, klik Permission Control > Bucket Policy.

    3. Pilih Add by Syntax, klik Edit, dan masukkan kebijakan berikut di editor.

      {
  "Statement": [
    {
      "Action": [
        "oss:*"
      ],
      "Effect": "Deny",
      "Principal": [
        "20655703638807****"
      ],
      "Resource": "acs:oss:*:*:*",
      "Condition": {
        "StringNotEquals": {
          "acs:SourceVpc": [
            "vpc-t4nlw426y44rd3iq4xxxx"
          ]
        }
      }
    }
  ],
  "Version": "1"
}

    4. Setelah Anda memastikan kebijakan sudah benar, klik Save dan ikuti prompt di layar.

    Langkah 3: Verifikasi kontrol akses

    Bagian ini menunjukkan cara menggunakan tool baris perintah ossutil untuk memverifikasi konfigurasi kontrol akses ganda. Sebelum menjalankan perintah, unduh ossutil 2.0 dan konfigurasikan dengan AccessKey RAM user serta alamat titik akhir internal. Misalnya, gunakan oss-ap-southeast-1-internal.aliyuncs.com.

    Verifikasi skenario akses yang diizinkan

    Pada instance ECS dalam VPC yang diizinkan (vpc-t4nlw426y44rd3iq4xxxx), gunakan AccessKey pengguna yang diizinkan (UID: 20655703638807****) untuk menampilkan daftar objek di example-bucket.

    ossutil ls oss://example-bucket/

    Permintaan akses berhasil, yang menunjukkan bahwa baik kebijakan VPC maupun kebijakan bucket memberikan akses.

    Verifikasi skenario penolakan oleh kebijakan VPC

    Dari dalam VPC yang sama, coba akses bucket yang tidak diizinkan oleh kebijakan VPC, seperti other-bucket.

    ossutil ls oss://other-bucket/

    Akses ditolak dengan pesan Access denied by VPC endpoint policy... Hal ini mengonfirmasi bahwa kebijakan VPC membatasi cakupan bucket yang dapat diakses di sisi sumber.

    Verifikasi skenario penolakan oleh kebijakan bucket

    Dari VPC yang tidak diizinkan atau internet publik, gunakan AccessKey pengguna yang sama untuk mengakses example-bucket.

    ossutil ls oss://example-bucket/

    Akses ditolak dengan pesan Access denied by bucket policy... Hal ini mengonfirmasi bahwa kebijakan bucket memvalidasi sumber VPC di sisi tujuan.