全部产品
Search

搜索本产品

    Object Storage Service:Ikhtisar izin dan kontrol akses

    文档中心

    Object Storage Service:Ikhtisar izin dan kontrol akses

    更新时间:Jan 21, 2026

    Secara default, resource Object Storage Service (OSS), seperti bucket dan objek, bersifat privat untuk menjamin keamanan data. Hanya pemilik resource atau pengguna yang telah diberi otorisasi yang dapat mengaksesnya. Untuk mengizinkan pihak ketiga mengakses resource OSS Anda, Anda dapat menggunakan berbagai kebijakan kontrol akses guna memberikan izin tertentu. OSS menyediakan fitur izin dan kontrol akses berikut untuk objek yang disimpan dalam bucket:

    Jenis

    Deskripsi

    Skenario

    Kebijakan RAM

    Resource Access Management (RAM) adalah layanan kontrol akses yang disediakan oleh Alibaba Cloud. Kebijakan RAM merupakan kebijakan otorisasi berbasis pengguna. Anda dapat menggunakannya untuk mengelola pengguna secara terpusat—seperti karyawan, sistem, atau aplikasi—dan mengontrol izin mereka dalam mengakses resource Anda. Misalnya, Anda dapat memberikan izin read-only kepada pengguna untuk bucket tertentu.

    Berikan izin OSS kepada Pengguna RAM, kelompok pengguna, atau Peran RAM dalam Akun Alibaba Cloud Anda.

    Bucket Policy

    Bucket policy adalah kebijakan otorisasi berbasis resource. Bucket policy lebih mudah digunakan dibandingkan kebijakan RAM dan dapat dikonfigurasi di Konsol melalui antarmuka grafis. Pemilik bucket dapat langsung memberikan akses tanpa memerlukan izin RAM. Bucket policy mendukung pemberian izin akses kepada Pengguna RAM dari akun lain maupun kepada pengguna anonim dengan pembatasan alamat IP tertentu.

    • Berikan izin OSS kepada Pengguna RAM atau Peran RAM dalam akun Anda.

    • Berikan izin OSS kepada Pengguna RAM atau Peran RAM dari akun lain.

    • Berikan izin OSS kepada pengguna anonim.

    ACL Bucket

    Anda dapat menetapkan access control list (ACL) saat membuat bucket atau mengubahnya kapan saja setelah bucket dibuat. Hanya pemilik bucket yang dapat melakukan operasi ini. Bucket ACL mencakup public-read-write, public-read, dan private.

    Tetapkan izin akses yang sama untuk semua objek dalam sebuah bucket.

    ACL Objek

    Selain ACL tingkat bucket, OSS juga menyediakan ACL tingkat objek. Anda dapat menetapkan ACL saat mengunggah objek atau mengubahnya kapan saja setelah objek diunggah. Object ACL mencakup default (mewarisi dari bucket), public-read-write, public-read, dan private.

    Tetapkan izin akses untuk satu atau beberapa objek tertentu. Misalnya, jika Anda telah menetapkan izin akses untuk semua objek dalam sebuah bucket atau untuk objek yang sesuai dengan awalan tertentu menjadi private menggunakan kebijakan RAM atau bucket policy, Anda dapat menggunakan Object ACL dan menetapkannya menjadi public-read agar objek tertentu dapat diakses oleh semua pengguna anonim di Internet.

    Blokir Akses Publik

    OSS mendukung akses publik melalui bucket policy dan ACL. Akses publik berarti resource OSS dapat diakses tanpa memerlukan izin khusus atau verifikasi identitas. Namun, akses publik meningkatkan risiko kebocoran data dan biaya lalu lintas outbound yang tinggi akibat akses jahat. Untuk menghindari risiko tersebut, OSS memungkinkan Anda mengaktifkan Block Public Access. Saat diaktifkan, izin akses publik yang ada akan diabaikan, dan Anda tidak dapat membuat izin akses publik baru. Fitur ini menutup saluran akses publik dan membantu menjamin keamanan data.

    • Mengaktifkan Blokir Akses Publik di tingkat OSS global.

    • Mengaktifkan Block Public Access untuk satu bucket.

    • Mengaktifkan Block Public Access untuk satu titik akses.

    • Mengaktifkan Block Public Access untuk satu titik akses object FC.

    Access point

    Anda dapat membuat beberapa titik akses untuk sebuah bucket dan mengonfigurasi izin kontrol akses serta kebijakan kontrol jaringan yang berbeda untuk setiap titik akses. Menggunakan titik akses yang berbeda untuk skenario bisnis yang berbeda menyederhanakan manajemen akses untuk dataset besar yang dibagikan.

    • Seorang pelanggan mengelola puluhan client aplikasi, dan setiap client memerlukan izin akses berbeda ke data dalam folder berbeda di dalam bucket yang sama.

    • Seorang pelanggan menyimpan seluruh data perusahaan dalam satu bucket dan perlu memastikan bahwa puluhan hingga ratusan tim internal hanya dapat mengakses folder atau file tertentu.

    Perlindungan Hotlink

    Perlindungan hotlink mencegah situs web yang tidak sah melakukan hotlinking langsung ke resource OSS Anda dengan memverifikasi informasi sumber permintaan HTTP, seperti Header Referer dan User-Agent. Hal ini membantu mencegah pencurian bandwidth dan hotlinking resource. Anda dapat mengonfigurasi perlindungan hotlink menggunakan daftar putih, blacklist, atau ekspresi reguler.

    Izinkan hanya Nama domain atau aplikasi tertentu untuk mengakses bucket atau objek guna mencegah situs pihak ketiga melakukan hotlinking terhadap resource seperti gambar dan file. Fitur ini cocok untuk skenario yang memerlukan bandwidth tinggi dan perlindungan resource, seperti pemutaran audio dan video, hosting gambar, serta unduhan perangkat lunak.

    Cross-origin resource sharing settings

    Cross-origin resource sharing (CORS) memungkinkan Anda mengonfigurasi aturan akses lintas domain untuk bucket Anda. Hal ini memungkinkan skrip halaman web mengakses resource OSS secara aman dari origin yang berbeda. Anda dapat mengonfigurasi parameter seperti origin yang diizinkan, metode, dan Header.

    Fitur ini digunakan ketika halaman antarmuka depan—seperti aplikasi web, halaman H5, atau program mini—atau layanan pihak ketiga perlu melakukan permintaan lintas asal untuk mengakses resource OSS dari domain (origin) yang berbeda. Skenario khas meliputi unggah file langsung dari antarmuka depan dan pemuatan lintas domain untuk pemutaran audio dan video berbasis web.

    Jika sebuah bucket memiliki beberapa kebijakan kontrol akses, seperti kebijakan RAM, ACL, dan bucket policy, lihat OSS authentication details untuk informasi mengenai alur autentikasi.