精华内容
下载资源
问答
  • 访问策略
    万次阅读
    2018-01-19 21:44:11

    访问策略

    该包实现基于访问策略语言规范(Access Policy Language specification)的解析和验证存储桶访问策略 - http://docs.aws.amazon.com/AmazonS3/latest/dev/access-policy-language-overview.html

    支持以下效果

    Allow
    Deny
    

    支持以下操作

    s3:GetObject
    s3:ListBucket
    s3:PutObject
    s3:GetBucketLocation
    s3:DeleteObject
    s3:AbortMultipartUpload
    s3:ListBucketMultipartUploads
    s3:ListMultipartUploadParts
    

    支持下列条件

    StringEquals
    StringNotEquals
    StringLike
    StringNotLike
    IpAddress
    NotIpAddress
    

    每个条件支持的key

    s3:prefix
    s3:max-keys
    aws:Referer
    aws:SourceIp
    

    是否支持嵌套策略

    不支持嵌套策略

    更多相关内容
  • minio几种访问策略

    千次阅读 2021-11-20 16:09:51
    minio访问策略设置分两种: 桶策略 用户策略 一、web端设置桶策略 桶的创建者拥有管理桶的权限,其他未授权用户不可管理桶 桶默认可以有三种Access Policy策略: public、custom、private 1.1、public 设置桶权限...

    minio访问策略设置分两种:

    • 桶策略
    • 用户策略

    一、web端设置桶策略

    桶的创建者拥有管理桶的权限,其他未授权用户不可管理桶
    在这里插入图片描述

    桶默认可以有三种Access Policy策略:
    public、custom、private

    1.1、public

    设置桶权限为public
    在这里插入图片描述

    不经过任何认证可以直接访问资源
    在这里插入图片描述

    1.2、custom

    这种Access Policy策略是通过如下自定义Access Rules出现的

    1.1.1、readonly

    可以设置资源不经过授权,只能读取
    在这里插入图片描述

    在这里插入图片描述

    1.1.2、writeonly

    资源不经过授权,只能写入
    在这里插入图片描述

    1.1.3、readwrite

    资源不经过授权,可读可写
    在这里插入图片描述

    1.3、private

    桶设置为private后,未经授权不能进行任何操作,所有Access Rules失效


    在这里插入图片描述

    二、java程序设置桶策略

    2.1、API设置桶策略

    setBucketPolicy

    • 策略json可在web端查看与编写
    /**
         * 设置桶策略
         * @param builder 策略json
         * @param bucketName 桶名称
         */
        @SneakyThrows(Exception.class)
        public static void createBucketPolicy(StringBuilder builder, String bucketName) {
            if(builder.length()==0) builder=defaultBucketPolicy(bucketName);
            minioClient.setBucketPolicy(SetBucketPolicyArgs.builder().bucket(bucketName).config(builder.toString()).build());
        }
    
        /**
         * 获取默认桶策略
         * @param bucketName
         * @return
         */
        private static StringBuilder defaultBucketPolicy(String bucketName){
            StringBuilder builder=new StringBuilder();
            builder.append("{\n" +
                    "  \"Version\": \"2012-10-17\",\n" +
                    "  \"Statement\": [\n" +
                    "    {\n" +
                    "      \"Effect\": \"Allow\",\n" +
                    "      \"Action\": [\n" +
                    "                \"s3:ListAllMyBuckets\",\n" +
                    "                \"s3:ListBucket\",\n" +
                    "                \"s3:GetBucketLocation\",\n" +
                    "                \"s3:GetObject\",\n" +
                    "                \"s3:PutObject\",\n" +
                    "                \"s3:DeleteObject\"\n" +
                    "      ],\n" +
                    "      \"Principal\":\"*\",\n" +
                    "      \"Resource\": [\n" +
                    "        \"arn:aws:s3:::"+bucketName+"/*\"\n" +
                    "      ]\n" +
                    "    }\n" +
                    "  ]\n" +
                    "}");
            return builder;
        }
    
    

    2.2、API查看桶策略

        /**
         * 查看桶策略
         * @param bucketName
         * @return
         */
        @SneakyThrows(Exception.class)
        public static String queryBucketPolicy(String bucketName) {
            String bucketPolicy = minioClient.getBucketPolicy(GetBucketPolicyArgs.builder().bucket(bucketName).build());
            logger.info(bucketPolicy);
            return bucketPolicy;
        }
    

    三、web端设置用户策略

    3.1、策略概念及语法

    策略(policy):IAM(Identity and Access Management)最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。

    {
      "Version": "2012-10-17",
      "Statement": [
        {
          "Effect": "Allow",
          "Action": [
                    "s3:ListAllMyBuckets",
                    "s3:ListBucket",
                    "s3:GetBucketLocation",
                    "s3:GetObject",
    				"s3:PutObject",
                    "s3:DeleteObject"
          ],
          "Resource": [
            "arn:aws:s3:::testpolicy1/*"
          ]
        }
      ]
    }
    
    
    参数说明
    Version标识策略的版本号,Minio中一般为"2012-10-17"
    Statement策略授权语句,描述策略的详细信息,包含Effect(效果)、Action(动作)、Principal(用户)、Resource(资源)和Condition(条件)。其中Condition为可选
    EffectEffect(效果)作用包含两种:Allow(允许)和Deny(拒绝),系统预置策略仅包含允许的授权语句,自定义策略中可以同时包含允许和拒绝的授权语句,当策略中既有允许又有拒绝的授权语句时,遵循Deny优先的原则。
    ActionAction(动作)对资源的具体操作权限,格式为:服务名:资源类型:操作,支持单个或多个操作权限,支持通配符号*,通配符号表示所有。例如 s3:GetObject ,表示获取对象
    ResourceResource(资源)策略所作用的资源,支持通配符号*,通配符号表示所有。在JSON视图中,不带Resource表示对所有资源生效。Resource支持以下字符:-_0-9a-zA-Z*./\,如果Resource中包含不支持的字符,请采用通配符号*。例如:arn:aws:s3:::my-bucketname/myobject*\,表示minio中my-bucketname/myobject目录下所有对象文件。
    ConditionCondition(条件)您可以在创建自定义策略时,通过Condition元素来控制策略何时生效。Condition包括条件键和运算符,条件键表示策略语句的Condition元素,分为全局级条件键和服务级条件键。全局级条件键(前缀为g:)适用于所有操作,服务级条件键(前缀为服务缩写,如obs:)仅适用于对应服务的操作。运算符与条件键一起使用,构成完整的条件判断语句。

    3.2、系统默认策略

    权限描述
    consoleAdmin控制台管理员
    diagnostics诊断
    readonly只读
    readwrite读写
    writeonly只写

    3.3、自定义策略

    在这里插入图片描述

    3.4、为用户添加策略

    • 直接为用户指定策略

    在这里插入图片描述

    • 为用户指定用户组,用户组设置策略
      在这里插入图片描述

    在这里插入图片描述

    展开全文
  • iptables只是管理包过滤规则的工具,可以添加或删除包过滤的规则,真正执行包过滤规则的是netfilter netfilter是Linux核心中的一个通用架构,内部提供一些列的表,每个表由若干条链组成,每条链由一条或多条规则组成,也...

    iptables只是管理包过滤规则的工具,可以添加或删除包过滤的规则,真正执行包过滤规则的是netfilter

    netfilter是Linux核心中的一个通用架构,内部提供一些列的表,每个表由若干条链组成,每条链由一条或多条规则组成,也就是我们常说的四表五链

    四表

    • filter表        负责包过滤
    • nat表          负责网络地址转换
    • mangle表    负责包的重构
    • raw表          负责数据跟踪处理

    五链

    • INPUT链        负责进来的数据包的规则
    • OUTPUT链        负责外出的数据包的规则
    • FORWARD链        负责转发时的规则
    • PREROUTING链        负责路由前的规则,也就是数据包进来的时候处理
    • POSTROUTING链        负责路由后的规则,也就是数据包出来的时候再处理

    iptables工作原理

    当数据包进入系统时,系统首先会根据路由表决定将数据包发给哪一条链,常见的情况有3种

    第1种,入站的数据包

            从外界到达防火墙的数据包先被PREROUTING链处理,再经过INPUT链

                    如果匹配到规则,就发给相应的本地进程处理

                    如果没匹配到规则,就丢弃这个数据包

    第2种,转发的数据包

            从外界到达防火墙的数据包先走PREROUTING链,再走FORWARD链,最后再交给POSTROUTING链,匹配到规则就处理,匹配不到则丢弃

    第3种,出站的数据包

            防火墙本机向外部发送的数据包先走OUTPUT链,之后交给POSTROUTING链处理

    防火墙配置

    iptables -t 表名 -vnL        -- 查看防火墙规则

    • -t    指定表名(默认filter表)
    • -v    详细信息
    • -n    ip以数字形式展示
    • -L    列表形式

    iptables -t 表名 -操作 链名 -对象 (协议 端口 源/目ip) -j 动作

    操作:

    • -A    添加规则
    • -I    插入规则
    • -D    删除规则

    对象:

    • -s    源ip
    • -d    目标ip
    • -sport    源端口
    • -dport    目标端口

    动作:

    •  ACCEPT    接受
    • REJECT    拒绝
    • DROP    丢弃
    • SNAT    源地址转换
    • DNAT    目标地址转换
    展开全文
  • linux关闭防火墙、添加访问策略

    千次阅读 2018-01-19 09:09:31
    1.centos7 systemctl stop firewalld.service #停止firewall systemctl disable firewalld.service #禁止firewall开机启动 firewall-cmd --state #查看默认防火墙状态(关闭后显示notrunning,开启后显示running...
    1.centos7
    systemctl stop firewalld.service #停止firewall
    systemctl disable firewalld.service #禁止firewall开机启动
    firewall-cmd --state #查看默认防火墙状态(关闭后显示notrunning,开启后显示running)

    2、iptables防火墙(这里iptables已经安装,下面进行配置)
    vi/etc/sysconfig/iptables #编辑防火墙配置文件
    # sampleconfiguration for iptables service
    # you can edit thismanually or use system-config-firewall
    # please do not askus to add additional ports/services to this default configuration
    *filter
    :INPUT ACCEPT [0:0]
    :FORWARD ACCEPT[0:0]
    :OUTPUT ACCEPT[0:0]
    -A INPUT -m state--state RELATED,ESTABLISHED -j ACCEPT
    -A INPUT -p icmp -jACCEPT
    -A INPUT -i lo -jACCEPT
    -A INPUT -p tcp -mstate --state NEW -m tcp --dport 22 -j ACCEPT
    -A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -jACCEPT
    -A INPUT -p tcp -m state --state NEW -m tcp --dport 8080-j ACCEPT
    -A INPUT -j REJECT--reject-with icmp-host-prohibited
    -A FORWARD -jREJECT --reject-with icmp-host-prohibited
    COMMIT
    :wq! #保存退出

    备注:这里使用80和8080端口为例。***部分一般添加到“-A INPUT -p tcp -m state --state NEW -m tcp--dport 22 -j ACCEPT”行的上面或者下面,切记不要添加到最后一行,否则防火墙重启后不生效。
    systemctl restart iptables.service #最后重启防火墙使配置生效
    systemctl enable iptables.service #设置防火墙开机启动
    展开全文
  • Nginx实现IP白名单访问策略

    千次阅读 2019-07-22 18:02:06
    sever层中添加: set $allow false; if ($http_x_forwarded_for ~ "202.175.*.*|202.86.*.*|172.23.*.*"){ set $allow true; } if ($allow = false){ return 404; ...
  •  由于一些原因要对公司一台服务器做访问控制,要求只有部分网段可以访问,其他网段无法访问这台服务器。曾经做过Windows下的IP访问控制,不过由于过久忘记如何操作,翻看了其他人的文章后都说的比较模棱两可,如果...
  • 之前其实也写过一篇关于Minio设置桶策略的文章,但是是为了解决通过永久访问的问题。那个时候是使用Minio的客户端mc来设置的,非常的不方便,每次给桶设置策略时候,都需要进入mc去设置。有小伙伴就私信问我,有没有...
  • Nginx配置location限制IP访问策略

    万次阅读 2017-09-20 17:12:43
    以上配置的作用是允许IP为220.178.25.22,以及172和192网段的机器可以访问这个location地址,其他IP的客户端访问均是403。 其中,24是指子网掩码为255.255.255.0。 3.对照表(子网掩码/CIDR值) 255.0.0.0/8 ...
  • iptables访问策略

    万次阅读 2012-08-15 18:29:37
    iptables由3个表filter,nat,mangle组成...配置防火墙策略有固定的格式 Iptables 表名 链名 匹配条件 动作 -t 表名 (默认为filter) -A 链名(在该链末尾append追加策略) -I 链名 数字 -I (insert)插
  • 局域网中介质访问控制策略

    千次阅读 2021-03-16 15:08:07
    局域网中目前广泛采用两种介质访问控制策略 在有线局域网中 第一种是争用型介质访问控制,又称随机型介质访问控制,如CSMA/CD; 第二种是确定型介质访问控制,又称有序的介质访问控制,如Token(令牌)方式; 在...
  • 华为交换机访问控制策略

    千次阅读 2017-09-20 23:40:20
    实验环境使用华为eNSP(1.2.00.500),交换机版本V2R1,在LSW1做访问策略,拓扑如下:PC1:10.0.80.254; PC2:10.0.89.254; PC3:10.0.87.254; PC4:10.0.88.254;Traffic-filteracl 3000rule 87 deny ip source 10.0....
  • Spring Boot配置跨域访问策略

    万次阅读 2018-05-04 11:34:21
    在需要跨域访问的类和方法中设置允许跨域访问(如Spring中使用@CrossOrigin注解); 继承使用Spring Web的CorsFilter(适用于Spring MVC、Spring Boot) 实现WebMvcConfigurer接口(适用于Spring Boot) ...
  • 很多人都知道可以通过防火墙设置“白名单”IP,访问指定的端口,但是有些服务器可能因为配置错误什么的导致白名单不生效,就只能用另外一种方法啦,使用“本地组策略编辑器”禁止端口被访问,然后还可以开启白名单...
  • 防火墙安全策略配置

    千次阅读 2022-02-26 21:35:55
    安全策略原理 防火墙的基本作用是保护特定网络免受“不信任”网络的攻击,同时还必须允许两个网络之间可以进行合法的通信。 安全策略是控制设备对流量转发以及对流量进行内容安全一体化检测的策略。 安全策略的作用...
  • 2.允许Guest用户访问本机:打开组策略编辑器,依次选择“计算机配置→Windows设置→安全设置→本地策略→用户权利指派”,删除“拒绝从网络访问这台计算机”策略中的“GUEST”账号。3.更改网络访问模式:打开组策略...
  • 保证用户在系统安全策略下正常工作 拒绝非法用户的非授权访问请求 拒绝合法用户越权的服务请求 访问控制模型: 对一系列访问控制规则集合的描述,可以是非形式化的,也可以是形式化的 组成: ...
  • 在亚马逊AWS中经常需要使用IAM服务,即“Identity and Access Management”。通过IAM可以很好的进行访问授权控制。尤其是创建了多个登录用户后,可以对这些用户的访问权限进行管理。
  • linux防火墙的策略规则

    千次阅读 2021-05-13 14:32:55
    允许外界能访问我的80端口httpd服务: iptables -A INPUT -p tcp --dport 80 -j ACCEPT tcp协议目的端口80在入站规则通过 iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT tcp协议源端口80在出站规则通过 也可以...
  • minio 权限策略配置

    千次阅读 2022-01-25 16:26:12
    minio 权限策略配置 1.管理界面操作 2.代码操作 minio readwrite 访问策略: { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": [ "*" ] },
  • 实施经验-网络开通策略小案例

    千次阅读 2021-07-23 10:19:32
    网络开通策略小案例 场景 这是我项目实施中一个经典的网络开通策略场景,作为一个系统(下面称为系统A),需要调用的服务比较多,需要提供的服务也比较多,涉及的网络区域也比较多 具体要求说明 提供的服务: 面向...
  • 动态性,用户的解密能力仅取决于他的属性集合是否满足密文的访问策略,而与他在密文生成之前或之后加入这个系统无关; 灵活性,该类方案中的访问策略支持复杂的访问结构; 隐私性,数据所有者在加密数据时无需获悉...
  • 中提到了同一个Namespace下 + 同一个Group下, 不同Cluster 内的服务,可以互相访问. 如果我们要想实现一个 同集群优先权重负载均衡算法, 怎么办呢? 需求 举个例子: 有两个微服务artisan-order-center, artisan...
  • Linux防火墙策略管理

    千次阅读 2022-01-02 21:30:58
    public:仅允许访问本机的sshd、dhcp、ping等少数几个服务 trusted:允许任何访问 block:阻塞任何来访请求(明确拒绝) drop:丢弃任何来访的数据包(直接丢弃,不给客户端回应。节省服务端资源) (四)防火墙...
  • 配置ACLacl 3999 rule 5 permit tcp destination 172.20.146.0 0.0.0.255 destination-port eq www rule 10 deny tcp destination-port eq www 第一种:进入端口应用策略interface GigabitEthernet0/0/11 ...
  • AD组策略的设置(超详细)

    千次阅读 2021-01-26 13:40:49
    一、编辑组策略1、允许用户...2、拒绝用户访问运行、CMD、以及批处理文件。1、在要设定的OU上点击右键→属性→组策略→编辑策略→用户配置→管理摸板→任务栏和开始菜单→删除开始菜单上的运行菜单。用gpupdate /...
  • Hibernate二级缓存的并发访问策略

    千次阅读 2010-12-02 17:37:00
    Hibernate二级缓存的并发访问策略有四种:只读(read-only)、非严格读写(nonstrict-read-write)、读写(read-write)和事务(transactional)。但是目前还没有二级缓存提供者完全支持所有的并发访问策略。 <br />...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 854,004
精华内容 341,601
关键字:

访问策略