全部产品

办公

合作伙伴

智能管理

大数据

通用参考

存储空间访问权限

一般来讲,对OBS 服务访问者的分类如下:

按访问者的角色可分为所有者访问和第三方用户访问。

  • 所有者就是该Bucket的拥有者,通常是使用主账号创建该Bucket的用户,默认拥有该Bucket所有权限。
  • 第三方用户是指授权访问Bucket的用户。授权通过访问控制RAM服务来进行,用户如果被授予管理权限(Administrator)或者OBSFullAccess权限,则可以进行任何Bucket访问操作,如果被授予OBSReadOnlyAccess权限,则只可以进行Bucket读操作。如果使用系统自带的RAM权限无法满足需求,可以通过RAM自定义策略进行更细粒度的用户授权。

按访问者的身份信息可分为匿名访问和带签名访问。

匿名访问是指请求的HTTP Header中没有携带任何与身份相关的信息的访问方式。带签名访问是指请求的HTTP Header中携带AccessKey和SecretKey签名相关信息的访问方式。OBS 通过使用 AccessKey 和SecretKey对称加密的方法来验证某个请求的发送者身份。AccessKey用于标识用户,SecretKey是用户用于加密签名字符串和 OBS 用来验证签名字符串的密钥,其中 SecretKey必须保密。

对于 OBS 来说,AK、SK的来源有Bucket 的所有者(主账户或子账户)申请的 AK、SK,及被 Bucket 的所有者通过 RAM 授权给第三方请求者的 AK、SK。您可以在OBS的控制台中查看存储桶的AK和SK,具体方式请参考查询存储空间信息

针对存放在Bucket的Object的访问,OBS的权限控制方式如下:
  1. 验证Bucket读写权限,读写权限有以下几类:
    • 私有:只有身份验证通过的访问者(Bucket所有者或被授权者)才可以对该Bucket中的对象进行读、写、删除操作,其他访问者未经授权无法访问该Bucket中对象,是默认级别,也是最安全的。
    • 公共读(私有写):只有身份验证通过的访问者才可以对该Bucket中的对象进行读、写、删除操作,其他任何人(包括匿名访问者)只可以进行读操作。
      警告: 由于任何人都可以访问该Bucket中的对象,因此,可能会造成数据泄露及费用激增。请谨慎操作。
    • 公共读写:任何人(包括匿名访问)都可以对该Bucket中的对象进行读、写、删除操作。
      警告: 由于任何人都可以访问该Bucket内的对象,并且还可以写入数据。可能会被人恶意篡改对象数据,侵害您的合法权 益。 除特殊场景外,不建议您使用公共读写权限。
  2. 访问者身份鉴权

    访问者身份鉴权是指对带签名访问者进行身份鉴权。通过请求的HTTP Header中的签名信息来鉴别是否为桶所有者或被授权者,只有身份鉴权通过才可以允许相关访问请求。

    关于OBS访问权限控制流程,如下图示,OBS收到用户请求后,会首先对存储空间的读写权限进行验证:

    • 若权限为私有,或者公共读的写操作,则会对请求者进行身份鉴权,只有身份鉴权通过,才能返回对象数据。
    • 若权限为公共读的读操作,或者公共读写,则无需对请求者进行身份鉴权,直接返回对象数据。
以上内容是否解决了您的问题?
请补全提交信息!
确认 取消
咨询·建议

电话咨询

400-151-8800

邮件咨询

cloud@pingan.com

在线客服

立即咨询

工单支持

解决云产品相关技术问题

提交工单