存储空间访问权限

<p class="p">一般来讲,对OBS 服务访问者的分类如下:</p> <p class="p"><strong class="ph b">按访问者的角色可分为所有者访问和第三方用户访问。</strong></p> <ul class="ul" id="Storageaccess__ul_wjm_dcz_kkb"> <li class="li">所有者就是该Bucket的拥有者,通常是使用主账号创建该Bucket的用户,默认拥有该Bucket所有权限。</li> <li class="li">第三方用户是指授权访问Bucket的用户。授权通过访问控制RAM服务来进行,用户如果被授予管理权限(Administrator)或者OBSFullAccess权限,则可以进行任何Bucket访问操作,如果被授予OBSReadOnlyAccess权限,则只可以进行Bucket读操作。如果使用系统自带的RAM权限无法满足需求,可以通过RAM自定义策略进行更细粒度的用户授权。</li> </ul> <p class="p"><strong class="ph b">按访问者的身份信息可分为匿名访问和带签名访问。</strong></p> <p class="p">匿名访问是指请求的HTTP Header中没有携带任何与身份相关的信息的访问方式。带签名访问是指请求的HTTP Header中携带AccessKey和SecretKey签名相关信息的访问方式。OBS 通过使用 AccessKey 和SecretKey对称加密的方法来验证某个请求的发送者身份。AccessKey用于标识用户,SecretKey是用户用于加密签名字符串和 OBS 用来验证签名字符串的密钥,其中 SecretKey必须保密。</p> <p class="p">对于 OBS 来说,AK、SK的来源有Bucket 的所有者(主账户或子账户)申请的 AK、SK,及被 Bucket 的所有者通过 RAM 授权给第三方请求者的 AK、SK。您可以在OBS的控制台中查看存储桶的AK和SK,具体方式请参考<a class="xref" href="/ssr/help/storage/obs/Operationguide.managespacestorage.Querystoragespaceinformation" target="_blank">查询存储空间信息</a>。</p> <div class="p">针对存放在Bucket的Object的访问,OBS的权限控制方式如下:<ol class="ol" id="Storageaccess__ol_p44_lfz_kkb"> <li class="li">验证Bucket读写权限,读写权限有以下几类:<ul class="ul" id="Storageaccess__ul_xjm_dcz_kkb"> <li class="li">私有:只有身份验证通过的访问者(Bucket所有者或被授权者)才可以对该Bucket中的对象进行读、写、删除操作,其他访问者未经授权无法访问该Bucket中对象,是默认级别,也是最安全的。</li> <li class="li">公共读(私有写):只有身份验证通过的访问者才可以对该Bucket中的对象进行读、写、删除操作,其他任何人(包括匿名访问者)只可以进行读操作。<div class="note warning note_warning"><span class="note__title">警告:</span> 由于任何人都可以访问该Bucket中的对象,因此,可能会造成数据泄露及费用激增。请谨慎操作。</div></li> <li class="li">公共读写:任何人(包括匿名访问)都可以对该Bucket中的对象进行读、写、删除操作。<div class="note warning note_warning"><span class="note__title">警告:</span> 由于任何人都可以访问该Bucket内的对象,并且还可以写入数据。可能会被人恶意篡改对象数据,侵害您的合法权 益。 除特殊场景外,不建议您使用公共读写权限。</div></li> </ul></li> <li class="li">访问者身份鉴权<p class="p">访问者身份鉴权是指对带签名访问者进行身份鉴权。通过请求的HTTP Header中的签名信息来鉴别是否为桶所有者或被授权者,只有身份鉴权通过才可以允许相关访问请求。</p><p class="p">关于OBS访问权限控制流程,如下图示,OBS收到用户请求后,会首先对存储空间的读写权限进行验证:</p><ul class="ul" id="Storageaccess__ul_bkm_dcz_kkb"> <li class="li">若权限为私有,或者公共读的写操作,则会对请求者进行身份鉴权,只有身份鉴权通过,才能返回对象数据。</li> <li class="li">若权限为公共读的读操作,或者公共读写,则无需对请求者进行身份鉴权,直接返回对象数据。</li> </ul><img class="image" id="Storageaccess__image_wdp_jgz_kkb" src="https://obs-cn-shanghai.yun.pingan.com/pcp-portal/20200708111403-11bbdc0a9829.png" width="800"></li> </ol></div>
以上内容是否解决了您的问题?
请补全提交信息!
咨询·建议

电话咨询 - 7x24 小时

400-151-8800

邮件咨询

cloud@pingan.com

在线客服

7x24 小时,急速解答

工单支持

解决云产品相关技术问题