概念

BucketObjectObjectKeyKeyObjectNameRegionEndpointAccessKeyAccessKey IDAccessKey Secret

计费

=+++++

一、存储费

x÷÷x
存储类型单价
标准-本地冗余0.12
标准-同城冗余0.15
低频访问-本地冗余0.08
低频访问-同城冗余0.10
归档0.033
冷归档0.015
81G0.12

二、临时存储费

x÷÷x
存储类型单价
冷归档0.12
冷归档文件在解冻期间,须额外支付一笔按照标准存储单价计算的临时存储费用。

三、数据取回费

x
存储类型单价
标准0
低频访问0.0325
归档0.06
冷归档0.03~0.2

四、流量费

x
流量方向单价
上传0
内网下载0
外网下载(0-8)0.25
外网下载(8-24)0.50
CDN回源下载0.15
跨区域复制(中国大陆)0.50
外网下载(0-8)0.25
1G10.25

五、请求费

math.Ceil()x
请求类型标准低频访问归档冷归档
PUT0.010.10.10.1
GET0.010.10.10.1
取回///0.3 ~ 30
30

六、其他费用

跨区域文件复制流量费、图片处理费、图片压缩费、视频截帧费、标签费、传输加速费、DDoS防护费、元数据管理费、敏感数据保护费等等。

存储类型

标准 + 低频 + 归档 + 冷归档

归档存储.png

对比指标标准低频归档冷归档
最小计量单位064KB64KB64KB
最小存储时长030天60天180天
访问延迟001min1-12hour
数据取回费用00.0325元/GB0.06元/GB0.03~0.2元/GB

URL

://./://./?签名信息

Bucket

CRUD

BucketCRDU
package main

import (
    "fmt"
    "os"
    "github.com/aliyun/aliyun-oss-go-sdk/oss"
)

func main() {
    // 创建OSSClient实例。
    // yourEndpoint填写Bucket对应的Endpoint。
    // 以华东1(杭州)为例,填写为https://oss-cn-hangzhou.aliyuncs.com。
    client, err := oss.New(
        "yourEndpoint", "yourAccessKeyId", "yourAccessKeySecret",
    )
    if err != nil {
        fmt.Println("Error:", err)
        os.Exit(-1)
    }

    // 新增
    err = client.CreateBucket(
        "examplebucket", 
        oss.StorageClass(oss.StorageIA), 
        oss.ACL(oss.ACLPublicRead),
        oss.RedundancyType(oss.RedundancyZRS)
    )
    if err != nil {
        fmt.Println("Error:", err)
        os.Exit(-1)
    }
    /* 
    StorageClass:存储类型。
        StorageStandard=标准存储
        StorageIA=低频访问
        StorageArchive=归档存储
        StorageColdArchive=冷归档存储
    ACL:访问权限。
        ACLPrivate=私有
        ACLPublicRead=公共读
        ACLPublicReadWrite=公共读写
    RedundancyType:冗余类型。
        RedundancyLRS=本地冗余
        RedundancyZRS=同城冗余
    */

    // 查询
    marker := ""
    for {
        lsRes, err := client.ListBuckets(oss.Marker(marker))
        if err != nil {
            fmt.Println("Error:", err)
            os.Exit(-1)
        }

        // 默认情况下一次返回100条记录。
        for _, bucket := range lsRes.Buckets {
            fmt.Println("Bucket: ", bucket.Name)
        }

        if lsRes.IsTruncated {
            marker = lsRes.NextMarker
        } else {
            break
        }
    }

    // 查询Region ID
    regionID, err := client.GetBucketLocation("examplebucket")
    if err != nil {
        fmt.Println("Error:", err)
        os.Exit(-1)
    }
    fmt.Println("Bucket Location:", regionID) // oss-cn-shanghai
    /*
        Region ID可以理解为Endpoint的前缀:
        外网Endpoint:oss-cn-shanghai.aliyuncs.com
        内网Endpoint:oss-cn-shanghai-internal.aliyuncs.com
    */

    // 删除
    err = client.DeleteBucket("examplebucket")
    if err != nil {
        fmt.Println("Error:", err)
        os.Exit(-1)
    }
}

生命周期

BucketObjectObject

可以基于最后一次修改时间(Last Modified Time)或最后一次访问时间(Last Access Time)创建生命周期规则。

限制最后一次修改时间最后一次访问时间
适用场景访问模型确定访问模型不确定
是否支持删除Object支持不支持
存储类型的转换是否可逆不可逆可逆

基于最后一次修改时间

最后一次修改时间,其实基本可以理解为创建时间。

这样就可以实现类似「上传N天后删除」或者「上传N天后将存储类型由标准切换为低频访问」的需求。

一些限制
10002408:0024
package main

import (
    "fmt"
    "os"
    "github.com/aliyun/aliyun-oss-go-sdk/oss"
)

func Main() {
    client, err := oss.New(
        "yourEndpoint", "yourAccessKeyId", "yourAccessKeySecret",
    )
    if err != nil {
        fmt.Println("Error:", err)
        os.Exit(-1)
    }

    // 定义规则

    // 前缀为10086的Object将于最后一次修改时间后的第14天删除
    ruleA := oss.BuildLifecycleRuleByDays("ruleA", "10086", true, 14)

    // 前缀为10010的Object将于2025年10月10日的08:00删除
    ruleB := oss.BuildLifecycleRuleByDate("ruleB", "10010", true, 2025, 10, 10)

    // 前缀为10000的Object的存储类型将于最后一次修改时间的30天后变更为低频访问
    ruleC := oss.LifecycleRule{
        ID:     "ruleC",
        Prefix: "10000",
        Status: "Enabled",
        Transitions: []oss.LifecycleTransition{
            {
                Days:         30,
                StorageClass: oss.StorageIA,
            },
        },
    }

    // 设置规则
    err = client.SetBucketLifecycle(
        "examplebucket", []oss.LifecycleRule{ruleA, ruleB, ruleC},
    )
    if err != nil {
        fmt.Println("Error:", err)
        os.Exit(-1)
    }
}

基于最后一次访问时间

SDK

Object

类型

分片上传.png

Object
上传方式类型
简单上传Normal
分片上传Multipart
追加上传Appendable

命名

UTF-81 ~ 1024/\

上传和删除

package main

import (
    "fmt"
    "os"
    "github.com/aliyun/aliyun-oss-go-sdk/oss"
)

func Main() {
    client, err := oss.New(
        "yourEndpoint", "yourAccessKeyId", "yourAccessKeySecret",
    )
    if err != nil {
        fmt.Println("Error:", err)
        os.Exit(-1)
    }

    // 生成Bucket实例
    bucket, e := client.Bucket("examplebucket")
    if err != nil {
        fmt.Println("Error:", e)
        os.Exit(-1)
    }

    // 上传
    if err = bucket.PutObject("objectKey", file); err != nil {
        fmt.Println("Error:", err)
        os.Exit(-1)
    }

    // 删除
    if err = bucket.DeleteObject("objectKey"); err != nil {
        fmt.Println("Error:", err)
        os.Exit(-1)
    }
}

访问控制

阿里云提供四种类型的访问权限控制策略:

类型约束对象
RAM PolicyOSS服务所属阿里云主账号的RAM
Bucket Policy所有阿里云主账号的RAM和匿名用户
Bucket ACLBucket
Object ACLObject

RAM Policy

JSON
{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "oss:PutObject"
      ],
      "Resource": [
        "acs:oss:*:*:examplebucket"
      ],
      "Condition": {}
    }
  ]
}
VersionStatementEffectActionResourceCondition

可以使用官方的RAM策略编辑器快速生成RAM策略。

【示例】禁止指定RAM上传Object到Bucket。

RAM Policy
{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "oss:PutObject"
      ],
      "Resource": [
        "acs:oss:*:*:avatar"
      ],
      "Condition": {}
    }
  ]
}
step2:添加权限策略:

控制台 - RAM访问控制 - 权限管理 - 创建权限策略 - 脚本编辑

step3:为RAM添加权限策略:

控制台 - RAM访问控制 - 身份管理 - 用户 - 添加权限

Bucket Policy

package main

import (
    "fmt"
    "os"
    "github.com/aliyun/aliyun-oss-go-sdk/oss"
)

func Main() {
    client, err := oss.New(
        "yourEndpoint", "yourAccessKeyId", "yourAccessKeySecret",
    )
    if err != nil {
        fmt.Println("Error:", err)
        os.Exit(-1)
    }

    // 配置policy(禁止192.168.1.1之外的所有人对examplebucket的所有请求)
    policy := `{
        "Version": "1",
        "Statement": [
            {
                "Principal": ["*"],
                "Effect": "Deny",
                "Action": ["oss:*"],
                "Resource": ["acs:oss:*:*:examplebucket"],
                "Condition": {
                    "NotIpAddress": {
                    "acs:SourceIp": ["192.168.1.1"]
                    }
                }
            }
        ]
    }`

    // 设置
    err = client.SetBucketPolicy("examplebucket", policy)
    if err != nil {
        fmt.Println("Error:", err)
        os.Exit(-1)
    }

    // 查询
    policy, e := client.GetBucketPolicy("examplebucket")
    if e != nil {
        fmt.Println("Error:", e)
        os.Exit(-1)
    }

    // 删除
    err = client.DeleteBucketPolicy("examplebucket")
    if err != nil {
        fmt.Println("Error:", err)
        os.Exit(-1)
    }
}

Bucket ACL

package main

import (
    "fmt"
    "os"
    "github.com/aliyun/aliyun-oss-go-sdk/oss"
)

func Main() {
    client, err := oss.New(
        "yourEndpoint", "yourAccessKeyId", "yourAccessKeySecret",
    )
    if err != nil {
        fmt.Println("Error:", err)
        os.Exit(-1)
    }

    // 设置examplebucket的权限为公共读
    err = client.SetBucketACL("examplebucket", oss.ACLPublicRead)
    if err != nil {
        fmt.Println("Error:", err)
        os.Exit(-1)
    }

    // 设置examplebucket的权限为公共读写
    err = client.SetBucketACL("examplebucket", oss.ACLPublicReadWrite)
    if err != nil {
        fmt.Println("Error:", err)
        os.Exit(-1)
    }

    // 设置examplebucket的权限为私有
    err = client.SetBucketACL("examplebucket", oss.ACLPrivate)
    if err != nil {
        fmt.Println("Error:", err)
        os.Exit(-1)
    }

    // 查询Bucket ACL
    res, e := client.GetBucketACL("examplebucket")
    if e != nil {
        fmt.Println("Error:", e)
        os.Exit(-1)
    }
}

Object ACL

package main

import (
    "fmt"
    "os"
    "github.com/aliyun/aliyun-oss-go-sdk/oss"
)

func Main() {
    client, err := oss.New(
        "yourEndpoint", "yourAccessKeyId", "yourAccessKeySecret",
    )
    if err != nil {
        fmt.Println("Error:", err)
        os.Exit(-1)
    }

    // 生成Bucket实例
    bucket, e := client.Bucket("examplebucket")
    if e != nil {
        fmt.Println("Error:", e)
        os.Exit(-1)
    }

    // 设置exampleobject的权限为公共读
    err = bucket.SetObjectACL("exampleobject", oss.ACLPublicRead)
    if err != nil {
        fmt.Println("Error:", err)
        os.Exit(-1)
    }

    // 设置exampleobject的权限为公共读写
    err = bucket.SetObjectACL("exampleobject", oss.ACLPublicReadWrite)
    if err != nil {
        fmt.Println("Error:", err)
        os.Exit(-1)
    }

    // 设置exampleobject的权限为私有
    err = bucket.SetObjectACL("exampleobject", oss.ACLPrivate)
    if err != nil {
        fmt.Println("Error:", err)
        os.Exit(-1)
    }

    // 设置exampleobject的权限为继承Bucket
    err = bucket.SetObjectACL("exampleobject", oss.ACLDefault)
    if err != nil {
        fmt.Println("Error:", err)
        os.Exit(-1)
    }

    // 查询Object ACL
    res, er := bucket.GetObjectACL("exampleobject")
    if er != nil {
        fmt.Println("Error:", er)
        os.Exit(-1)
    }
}

数据容灾

同城冗余

如果把默认的本地冗余比喻为一份数据存在同一机房内的三个不同硬盘中的话,那么同城冗余就是将数据存在同一数据中心的三个不同机房。

从本地冗余到同城冗余,隔离等级由硬盘级上升到机房级

err = client.CreateBucket(
    "examplebucket", 
    oss.StorageClass(oss.StorageIA), 
    oss.ACL(oss.ACLPublicRead),
    oss.RedundancyType(oss.RedundancyZRS)
)
/* 
    RedundancyType:冗余类型。
    RedundancyLRS=本地冗余
    RedundancyZRS=同城冗余
*/
Bucket

跨城冗余

跨城冗余就是将数据存放在不同城市的机房。

从同城冗余到跨城冗余,隔离等级由机房级上升到城市级

package main

import (
    "fmt"
    "github.com/aliyun/aliyun-oss-go-sdk/oss"
    "os"
)

func main()  {
    client, err := oss.New(
        "yourEndpoint", "yourAccessKeyId", "yourAccessKeySecret",
    )
    if err != nil {
        fmt.Println("Error:", err)
        os.Exit(-1)
    }

    /* 
    指定仅同步复制规则创建后新写入的数据
    不同步源Bucket的历史数据
    且此后将源Bucket执行的所有操作都将实时同步到目标Bucket
    */
    putXml := `<?xml version="1.0" encoding="UTF-8"?>
    <ReplicationConfiguration>
      <Rule>
        <PrefixSet>
            <! --指定待复制Object的前缀prefix_1和prefix_2。指定Prefix后,只有匹配该Prefix的Object才会复制到目标Bucket。-->
            <! --如果您需要将源Bucket中的所有Object复制到目标Bucket,则无需设置Prefix。
            <Prefix>prefix_1</Prefix>
            <Prefix>prefix_2</Prefix>
        </PrefixSet>
        <! --指定可以被复制到目标Bucket的操作。默认值为ALL,表示源Bucket的所有操作都会复制到目标Bucket。-->
        <Action>ALL</Action>
        <Destination>
            <! --指定数据要复制到的目标Bucket。-->
            <Bucket>destexamplebucket</Bucket>
            <! --指定目标Bucket所在的Region。-->
            <Location>oss-cn-beijing</Location>
            <! --指定数据复制时使用的数据传输链路。此处设置为oss_acc,表示使用了传输加速链路。-->
            <TransferType>oss_acc</TransferType>
        </Destination>
        <! --默认同步历史数据。此处设置为disabled,表示禁止同步历史数据。-->
        <HistoricalObjectReplication>disabled</HistoricalObjectReplication>
        <! --指定授权OSS进行数据复制的角色名称。如果指定使用SSE-KMS加密目标对象,则必须指定该元素。-->
        <SyncRole>aliyunramrole</SyncRole>
        <SourceSelectionCriteria>
          <SseKmsEncryptedObjects>
            <! --指定OSS是否复制通过SSE-KMS加密创建的对象。-->
            <Status>Enabled</Status>
          </SseKmsEncryptedObjects>
        </SourceSelectionCriteria>
        <EncryptionConfiguration>
            <! --指定SSE-KMS密钥ID。如果指定Status为Enabled,则必须指定该元素。-->
           <ReplicaKmsKeyID>c4d49f85-ee30-426b-a5ed-95e9139d****</ReplicaKmsKeyID>
       </EncryptionConfiguration>
     </Rule>
   </ReplicationConfiguration>`

    // 开启跨区域复制
    err = client.PutBucketReplication("srcexamplebucket",putXml)
    if err != nil {
        fmt.Println("Error:", err)
        os.Exit(-1)
    }
}            

数据加密

OSS服务侧加密

ObjectOSS
ObjectOSSx-oss-server-side-encryptionOSS
package main

import (
    "fmt"
    "os"

    "github.com/aliyun/aliyun-oss-go-sdk/oss"
)

func main() {
    // 创建OSSClient实例
    client, err := oss.New(
        "yourEndpoint", "yourAccessKeyId", "yourAccessKeySecret",
    )
    if err != nil {
        fmt.Println("Error:", err)
        os.Exit(-1)
    }

    // 初始化加密规则,使用AES256算法
    config := oss.ServerEncryptionRule{
        SSEDefault: oss.SSEDefaultRule{SSEAlgorithm: "AES256"},
    }

    // 设置OSS服务侧加密
    err = client.SetBucketEncryption("examplebucket", config)
    if err != nil {
        fmt.Println("Error:", err)
        os.Exit(-1)
    }
}

应用服务侧加密

ObjectOSSObjectOSS

image.png

package main

import (
    "bytes"
    "fmt"
    "io"
    "io/ioutil"
    "log"
    "os"

    "github.com/aliyun/aliyun-oss-go-sdk/oss"
    "github.com/aliyun/aliyun-oss-go-sdk/oss/crypto"
)

func main() {
    // 创建OSSClient实例。
    client, err := oss.New(
        "<yourEndpoint>", "<yourAccessKeyId>", "<yourAccessKeySecret>",
    )
    if err != nil {
        fmt.Println("Error:", err)
        os.Exit(-1)
    }

    // 创建一个主密钥的描述信息,创建后不允许修改。主密钥描述信息和主密钥一一对应。
    // 如果所有的Object都使用相同的主密钥,主密钥描述信息可以为空,但后续不支持更换主密钥。
    // 如果主密钥描述信息为空,解密时无法判断使用的是哪个主密钥。
    // 强烈建议为每个主密钥都配置主密钥描述信息(json字符串), 由客户端保存主密钥和描述信息之间的对应关系(服务端不保存两者之间的对应关系)。

    // 由主密钥描述信息(json字符串)转换的map。
    materialDesc := make(map[string]string)
    materialDesc["desc"] = "<your master encrypt key material describe information>"

    // 根据主密钥描述信息创建一个主密钥对象。
    masterRsaCipher, err := osscrypto.CreateMasterRsa(
        materialDesc, "<your rsa public key>", "<your rsa private key>",
    )
    if err != nil {
        fmt.Println("Error:", err)
        os.Exit(-1)
    }

    // 根据主密钥对象创建一个用于加密的接口, 使用aes ctr模式加密。
    contentProvider := osscrypto.CreateAesCtrCipher(masterRsaCipher)

    // 获取bucket。
    cryptoBucket, err := osscrypto.GetCryptoBucket(client, "<yourBucketName>", contentProvider)
    if err != nil {
        fmt.Println("Error:", err)
        os.Exit(-1)
    }

    // 上传时时自动加密。
    err = cryptoBucket.PutObject(
        "<yourObjectName>", bytes.NewReader([]byte("yourObjectValueByteArray")),
    )
    if err != nil {
        fmt.Println("Error:", err)
        os.Exit(-1)
    }

    // 下载时自动解密。
    body, err := cryptoBucket.GetObject("<yourObjectName>")
    if err != nil {
        fmt.Println("Error:", err)
        os.Exit(-1)
    }
    defer func(b *io.ReadCloser) {
        err = (*b).Close()
        if err != nil {
            log.Println("Error:", err)
        }
    }(&body)

    data, err := ioutil.ReadAll(body)
    if err != nil {
        fmt.Println("Error:", err)
        os.Exit(-1)
    }
    fmt.Println("data:", string(data))
}

版本控制

版本控制以回滚至任一历史版本的方式,为错误覆盖错误删除提供容错空间。

版本控制的一些限制

x-oss-forbid-overwrite

版本控制有三个状态:未开启开启暂停

package main

import (
    "fmt"
    "os"

    "github.com/aliyun/aliyun-oss-go-sdk/oss"
)

func main() {
    // 创建Client实例。
    client, err := oss.New(
        "<yourEndpoint>", "<yourAccessKeyId>", "<yourAccessKeySecret>",
    )
    if err != nil {
        fmt.Println("Error:", err)
        os.Exit(-1)
    }

    // 创建Bucket实例。
    err = client.CreateBucket("<yourBucketName>")
    if err != nil {
        fmt.Println("Error:", err)
        os.Exit(-1)
    }

    // 开启版本控制。
    config := oss.VersioningConfig{Status: "Enabled"}
    err = client.SetBucketVersioning("<yourBucketName>", config)
    if err != nil {
        fmt.Println("Error:", err)
        os.Exit(-1)
    }

    // 暂停版本控制。
    config.Status = "Suspended"
    err = client.SetBucketVersioning("<yourBucketName>", config)
    if err != nil {
        fmt.Println("Error:", err)
        os.Exit(-1)
    }
}

防盗链

OSSrequest headerReferer
package main

import (
    "fmt"
    "os"

    "github.com/aliyun/aliyun-oss-go-sdk/oss"
)

func main() {
    // 创建Client实例。
    client, err := oss.New("yourEndpoint", "yourAccessKeyId", "yourAccessKeySecret")
    if err != nil {
        fmt.Println("Error:", err)
        os.Exit(-1)
    }

    // 初始化Referer白名单。支持通配符星号(*)和问号(?)。
    referers := []string{
        "http://www.aliyun.com",
        "http://www.???.aliyuncs.com",
        "http://www.*.com",
    }

    // 设置Referer白名单,并禁止空Referer
    // 注意:如果你配置了白名单但允许空Referer,结局会很僵硬...
    err = client.SetBucketReferer("yourBucketName", referers, false)
    if err != nil {
        fmt.Println("Error:", err)
        os.Exit(-1)
    }

    // 查询Bucket Referer
    res, e := client.GetBucketReferer("yourBucketName")
    if e != nil {
        fmt.Println("Error:", e)
        os.Exit(-1)
    }
    fmt.Println(res.RefererList, res.AllowEmptyReferer)
}

合规保留策略

合规保留策略允许用户以“不可删除、不可篡改”方式保存和使用数据,符合美国证券交易委员会(SEC)和金融业监管局(FINRA)的合规要求。

package main

import (
    "fmt"
    "os"

    "github.com/aliyun/aliyun-oss-go-sdk/oss"
)

func main() {
    // 创建OSSClient实例。
    client, err := oss.New(
        "yourEndpoint", "yourAccessKeyId", "yourAccessKeySecret",
    )
    if err != nil {
        handleError(err)
    }

    // 初始化WORM规则(锁定60天)。
    // 最短锁定1天,最长锁定70年。
    wormID, e := client.InitiateBucketWorm("examplebucket", 60)
    if e != nil {
        handleError(e)
    }

    /*
        初始化后的24小时内,WORM处于InProgress状态。
        在此期间,可以提交锁定,或者删除。
        若在此期间即未提交锁定也未删除,则WORM自动失效。
    */

    // 提交锁定
    err = client.CompleteBucketWorm("examplebucket", wormID)
    if err != nil {
        handleError(err)
    }

    // 或者删除
    /*
        err = client.AbortBucketWorm("examplebucket")
        if err != nil {
            handleError(err)
        }
    */

    // 通过Bucket查询WORM
    wormConfiguration, er := client.GetBucketWorm("examplebucket")
    if er != nil {
        handleError(er)
    }

    // WORM一旦提交锁定,在解锁日期前,WORM和Bucket内的所有Object均不支持删除。
    // 但可以延长锁定期:
    err = client.ExtendBucketWorm(
        "examplebucket", 180, wormConfiguration.WormId,
    )
    if err != nil {
        handleError(err)
    }
}

func handleError(err error) {
    fmt.Println("Error:", err)
    os.Exit(-1)
}

日志

package main

import (
    "fmt"
    "os"

    "github.com/aliyun/aliyun-oss-go-sdk/oss"
)

func main() {
    // 创建OSSClient实例。
    client, err := oss.New(
        "yourEndpoint", "yourAccessKeyId", "yourAccessKeySecret",
    )
    if err != nil {
        handleError(err)
    }

    // 开启
    // 将examplebucket的日志存入destbucket。
    err = client.SetBucketLogging("examplebucket", "destbucket", "log/", true)
    if err != nil {
        handleError(err)
    }

    // 查询
    res, e := client.GetBucketLogging("examplebucket")
    if e != nil {
        handleError(e)
    }
    fmt.Println(
        res.LoggingEnabled.TargetBucket, res.LoggingEnabled.TargetPrefix,
    )

    // 关闭
    err = client.DeleteBucketLogging("examplebucket")
    if err != nil {
        handleError(err)
    }
}

func handleError(err error) {
    fmt.Println("Error:", err)
    os.Exit(-1)
}

细节

防止意外覆盖

Headerx-oss-forbid-overwritetrue

避免修改路径

OSS
test1test2OSStest1/Objecttest2/ObjectOSS

性能与扩展性最佳实践

Object Key不要使用顺序前缀!!!
Object Key不要使用顺序前缀!!!
Object Key不要使用顺序前缀!!!