当您的源站为OSS且Bucket设置为私有时,必须先打开阿里云OSS私有Bucket回源开关对CDN授权,才能实现CDN回源至私有OSS Bucket访问资源,从而有效防止资源盗链。

背景信息

您可以配合使用阿里云CDN提供的Referer防盗链功能、鉴权功能,有效保护您的资源安全,更多信息,请参见配置Referer防盗链URL鉴权

注意
  • 开启私有OSS Bucket回源授权后,即授权CDN对您所有Bucket的只读权限,不只是对当前Bucket授权。
  • 授权成功并开启了对应域名的私有Bucket回源授权功能,该加速域名可以访问您的私有Bucket内的所有资源。开启该功能前,请根据您的实际业务情况谨慎决策。如果您授权的私有Bucket内容并不适合作为CDN加速的回源内容,请勿授权或开启此功能。
  • 如果您的网站有被攻击的风险,请购买高防服务,同时请勿授权或开启私有Bucket回源授权功能。

开启私有Bucket回源

操作步骤:
  1. 登录CDN控制台
  2. 在左侧导航栏,单击域名管理
  3. 域名管理页面,单击目标域名对应的管理
  4. 在指定域名的左侧导航栏,单击回源配置
  5. (可选)您首次授权时,需要执行该步骤,在阿里云OSS私有Bucket回源区域,单击点击授权,继续单击同意授权同意授权
  6. 阿里云OSS私有Bucket回源区域,打开阿里云OSS私有Bucket回源开关。
    说明 当CDN回源OSS私有Bucket访问非加密文件时,完成以上配置即可正常访问文件。如果您在OSS上对文件进行了KMS加密,此时将无法直接访问,需要为 AliyunCDNAccessingPrivateOSSRole角色添加 AliyunKMSCryptoUserAccess权限才能正常访问文件。
  7. (可选)为AliyunCDNAccessingPrivateOSSRole角色添加AliyunKMSCryptoUserAccess权限。
    1. 登录RAM控制台
    2. 在左侧导航栏,选择身份管理 > 角色
    3. 角色名称列表下,找到AliyunCDNAccessingPrivateOSSRole角色。
    4. 单击添加权限被授权主体会自动填入。
    5. 系统策略下搜索AliyunKMSCryptoUserAccess,并单击AliyunKMSCryptoUserAccess,会添加到已选择列表。
    6. 单击确定,显示授权成功。
    7. 单击完成

关闭私有Bucket回源

如果您不希望加速域名能够访问您私有Bucket内资源的权限,您可以通过访问控制RAM(Resource Access Management)控制台,取消对应角色名称的授权,关闭私有Bucket回源功能。

操作步骤:
  1. 登录RAM控制台
  2. 在左侧导航栏,单击身份管理 > 角色
  3. 角色名称列表下,单击AliyunCDNAccessingPrivateOSSRole角色。RAM角色管理
  4. 移除角色AliyunCDNAccessingPrivateOSSRole中的所有权限。
    1. 单击权限对应的移除权限
    2. 在移除权限的确认对话框中,单击确定
  5. 返回身份管理 > 角色页面,删除AliyunCDNAccessingPrivateOSSRole角色。
    1. 单击AliyunCDNAccessingPrivateOSSRole角色对应的删除
    2. 删除RAM角色的确认对话框中,单击确定