最佳实践:OSS AP 和云网络 Gateway Endpoint

AIData搭子
0 阅读6分钟

前言:企业数据管理中“成长的烦恼”

在构建中心化数据湖或数据仓库时,很多企业都会选择阿里云对象存储 OSS。但随着业务扩展,管理者往往会面临一个“既要、又要、还要”的难题:

  • 安全性: 数据绝对不能走公网,必须全链路私网访问。
  • 权限隔离: 财务、研发、市场等各部门的数据都在一个 Bucket 里,权限策略(Policy)写了几千行,维护起来非常痛苦,且可能会触碰到 Bucket Policy 大小上限。

如何优雅地解决? 本篇文章给出最佳实践:OSS 接入点 (Access Point,AP)+ VPC 网关终端节点 (Gateway Endpoint)。

为什么是这个组合?

传统的方案是所有 VPC 共用一个 Bucket 域名,权限语法策略全堆在一个 Bucket Policy 里。而我们的新方案实现了“权限解耦”,即通过将授权语法分散在不同 AP 的 AP Policy 中,从而为每个部门/业务方开一个“专窗”,财务走财务的窗,研发走研发的窗,各走各路,互不干扰。与此同时,VPC 网关终端节点是在 VPC 内部打通一条专属“绿色通道”,无需公网,直接直连 OSS 骨干网,可以达到私网访问和低成本的目的。

下面,本文手把手教你基于 OSS 接入点和 VPC 网关终端节点来构建安全的多租户私网访问架构。

某企业在阿里云上拥有一个核心 OSS Bucket(如 company-data-lake),存储全公司不同部门(财务、研发、市场)的数据。希望实现企业级中心化数据湖/仓库的细粒度隔离访问,需要满足以下访问控制需求:

  • 私网访问:所有数据访问通过阿里云 VPC 内部网络完成,禁止公网访问,不希望通过 NAT 网关产生公网流量费。
  • 权限隔离:不同部门 VPC 访问同一个 Bucket,但需要实现前缀(Prefix)级别的隔离。例如:财务 VPC 只能访问 finance/ 目录,研发 VPC 只能访问 dev/ 目录。
  • 管理解耦:数百人访问同一 Bucket,通过接入点将权限管理分散到各业务方,避免在单一 Bucket Policy 中维护数千行策略。
  • 访问控制:限制特定 VPC 只能通过特定的接入点访问 Bucket。

方案概览

通过 OSS 接入点(Access Point) 和 VPC 网关终端节点配合实现:

  • OSS 接入点:为每个访问方创建独立的接入点,通过接入点策略(AP Policy)分别管理各自的权限,避免在单一 Bucket Policy 中维护复杂的权限规则。
  • VPC 网关终端节点:在 VPC 中创建指向 OSS 的网关终端节点,将访问 OSS 内网域名的请求通过阿里云内网直达 OSS,无需绕行公网。

访问链路: ECS 实例 → VPC 路由表 → 网关终端节点 → OSS 内网 → 接入点(AP Policy 鉴权)→ Bucket(Bucket Policy 鉴权)

操作步骤

第一步:创建 VPC 网关终端节点

通过创建网关终端节点,在 VPC 路由表中自动添加指向 OSS 的路由,使 ECS 实例可通过内网访问 OSS。

  1. 登录 专有网络 VPC 控制台
  2. 在左侧导航栏选择 终端节点 > 网关终端节点。
  3. 单击创建终端节点: ○ 服务类型:选择阿里云服务。 ○ 服务名称:选择 com.aliyun..oss(例如 com.aliyun.cn-hangzhou.oss)。 ○ 专有网络:选择业务所在的 VPC。 ○ 路由表:勾选需要访问 OSS 的 ECS 所在交换机绑定的路由表。
  4. 创建完成后,VPC 路由表中自动增加一条指向 OSS 的路由。

第二步:创建 OSS 接入点

为每个业务方创建独立的接入点,实现权限隔离管理。

  1. 登录 OSS 管理控制台
  2. 进入目标 Bucket,在左侧菜单选择接入点 > 创建接入点。
  3. 配置接入点参数: ○ 接入点名称:例如 finance-ap。 ○ 网络类型:选择 VPC。 ○ VPC ID:选择步骤一中已创建网关终端节点的 VPC ID。 ○ 配置接入点策略 :授权该接入点允许操作的资源和用户等。
  4. 保存后,系统生成接入点别名和接入点域名。

第三步:配置策略

依次配置接入点策略、Bucket 策略和 VPC 网关终端节点策略,确保访问链路权限打通。

1. 配置接入点策略

接入点策略定义通过该接入点进入的流量可以执行的操作。以下示例授予 ACS:RAM:1234567890123456:role/FinanceRole 通过 finance-ap1 接入点执行 GetObject 和 PutObject 操作:

image

2. 配置 Bucket 策略(接入点权限委派)

创建接入点后,通过 Bucket Policy 设置接入点权限委派,定义哪些接入点可以访问 Bucket。

接入点权限委派提供三种类型:

  • oss:DataAccessPointArn:指定接入点的访问权限委派。
  • oss:DataAccessPointAccount:当前主账号下所有接入点的访问权限委派。
  • oss:AccessPointNetworkOrigin:指定网络来源的所有接入点访问权限委派。

以下示例委派财务部门的所有接入点通过 VPC 访问 Bucket 中 finance/ 前缀下的数据:

image

更多委派场景的策略配置参见按语法策略添加。

3. 配置 VPC 网关终端节点策略(VPC Policy)

在 VPC 网关终端节点策略中,将接入点绑定的 Bucket 设为允许访问的目标,实现网络层的访问控制。

image

注意事项

  • 域名切换:使用接入点后,SDK 或 CLI 中必须使用接入点域名或接入点别名,而非原始 Bucket 域名。 ○ 错误示例:my-bucket.oss-cn-hangzhou-internal.aliyuncs.com ○ 正确示例:finance-ap-xxxx.oss-cn-hangzhou.oss-accesspoint.aliyuncs.com
  • 区域一致性:VPC 网关终端节点、OSS 接入点和 Bucket 必须处于同一个地域。
  • 权限叠加原则:用户必须同时满足 RAM Policy、接入点 Policy 和 Bucket Policy 的权限才能成功访问。
  • Endpoint 类型限制:VPC 网关终端节点仅支持同地域私网访问。如需跨地域访问,需使用反向代理或云企业网(CEN)。
  • 资源限额:单个 UID 可创建的接入点数量有限(1000 个),适用于绝大多数多租户场景。

总结

基于 OSS 接入点和 VPC 网关终端节点构建的多租户私网访问架构,具有如下优势:

  • 管理降维: 权限维护从“一锅粥”变为“分而治之”。
  • 安全加固: 完美规避公网暴露风险,仅限特定 VPC 访问。
  • 降本增效: 免去公网流量费,架构更稳健。

如果您正在管理企业级数据湖,或在为复杂的 OSS 权限分配头疼,不妨现在就尝试这一“黄金组合”!

avatar
文章
阅读
粉丝