设置bucket读写权限 -奇异果体育app竞彩官网下载
概述
为了保障您存储在 bos 中数据的高安全性,我们为您提供了丰富的多级权限管理能力。bos的权限体系分为如下三级:
- bucket 标准权限:业界常见的权限设置,分为私有、公共读和公共读写。
- 粗粒度自定义权限:较标准权限更细粒度的权限,可对指定用户设置 read、list、write、full_control 和 modify 权限,并可以指定该权限可访问的资源,以及指定具有该权限的 ip 地址和 referer 白名单等。
- 细粒度自定义权限:bos 提供的 api 级别细粒度自定义权限。可设置的 api 类别包括 getbucket、getobject、putobject、deleteobject 在内的共 18 种。您可以对每种类别自定义相应的访问权限。
设置bucket读写权限
- 登录 。
- 在左侧 bucket 列表中,选择需要设置权限的 bucket,点击 bucket 名称进入 bucket 管理目录。
- 在上方导航栏选择 配置管理 页签。
- 在 配置管理 页面中选择 基础配置,在 bucket 权限配置 区域点击 修改配置 对该 bucket 的权限进行配置。
- 可将 bucket 设置为私有、公共读和公共读写,更多需求可选择自定义权限,点击 “添加自定义授权” 添加。
- 在弹出的 添加自定义权限 表单中,填写对应项进行授权。
对于自定义权限的相关配置流程,可以参考下表进行操作。
|
配置名称
|
配置描述
|
|
用户授权
|
- 所有用户:指该配置对所有用户生效
- 自定义:指该配置对指定用户生效。当选择 "自定义" 之后,您需要输入希望指定的用户 id,用户 id 可以在用户中心 。同时,bos 支持同时设置多个用户 id,每个用户 id 分行填写即可(每行末尾不需要标点符号分隔)。若希望对全部用户生效,可以填写"*"(最多支持填写 1 个"*")。您也可以填入authenticatedusers,代表授权给所有百度智能云注册用户
-
上述所有用户id均指主账户id,如需要对子用户的用户id进行权限管控,需要通过iam多用户访问控制进行相应配置:
|
|
授权效果
|
- 用于设置授权用户的操作效果。若选择 "允许",那么将配置的权限以 "允许" 的效果授予用户;若选择 "拒绝",那么将配置的权限以 "拒绝" 的效果授予用户
|
|
授权配置
|
- 粗粒度自定义权限:包括read、list、write、modify、full_control权限
- 细粒度自定义权限:用户可通过点击"高级设置",展开细粒度权限列表,可按需勾选一个或多个,组合成新的自定义权限
- 细粒度和粗粒度权限 read、list、write、full_control、modify 间互不影响,可同时授权
- 粗粒度权限的优先级高于细粒度权限。如果既配了粗粒度权限又配了细粒度权限,粗粒度权限会覆盖细粒度权限,以粗粒度为主。您可以根据自身需求对粗粒度权限和细粒度权限进行组合
|
|
资源
|
- 指定该权限作用的资源范围。
- 其中 “包含” 的应资源即生效的资源范围。资源必须以 bucket 名称开始;资源如果只有 1 个斜杠,不能以斜杠结尾,应以通配符 "*" 结尾;资源可以设置多个,每行 1 个且每行以通配符结尾,示例:`mybucket, mybucket/*,mybucket/myfolder/object*`。若资源留空,则等同于 "bucket名称"。
- 其中 “不包含” 的资源表示对指定范围之外的 object 设置权限,配置填写方式同 "包含" 相同。如果选择了 “不包含” 但填写设置为空,相当于未配置。此时采用默认配置,即 bucket 自身和 bucket 内全部 object。
|
|
访问控制
|
- referer:设定 referer 白名单。每个 referer 以换行符分隔,每个referer 最多支持一个通配符 `*`。同时可以勾选是否允许referer 为空。选择 “允许 referer 为空” 时,http 请求中带白名单中的 referer 和空 referer 都允许访问;选择 “不允许 referer 为空” 时,http 请求只有带白名单的 referer 可以访问,空 referer 不允许。
- ip地址:指定拥有该权限的 ip 地址列表,使用 cidr 方式对 ip 进行标识。ip 地址可以设置多个,每行 1 个,且每行最多 1 个通配符`*`,并以`.*`结尾。示例:`192.168.1.*`或
`192.168.0.1/24`
`192.168.0.100`
`192.168.*`
- https 协议:白名单仅支持 http 和 https 协议。若您需要使用 https 协议,您需要勾选该选项
- 访问时间:bos 支持对该自定义权限设置访问时间,您可以在访问时间中设置最小时间和最大时间
- vpc:bos 支持对该自定义权限设置 vpc 级别访问控制,您可以设置允许或禁止某个 vpc 访问您的 bucket,您可以通过控制台选择本账号vpcid,也可通过【输入其他vpcid】设置其他账号下vpc
- 签名版本:您可指定bos兼容s3的签名版本v2版本,设置该签名版本允许或禁止访问资源
|
说明:
- 若希望根据 ip 地址进行访问控制,您需要使用 bucket 官方域名或者未开启 cdn 加速的自定义域名进行访问。若您使用 cdn 官方域名,或使用开启 cdn 加速的自定义域名访问 bos,此时 ip 设置将无效。
- vpc 级别访问控制目前仅支持华北-北京、华北-保定和华东-苏州区域,若您需要其他地域支持,请通过您的商务经理或联系奇异果体育app竞彩官网下载。
- 签名版本条件控制目前白名单开放,若有需求请通过您的商务经理或联系奇异果体育app竞彩官网下载。
数据安全提示:
- 公共读写权限所有人无需身份验证可以直接读写您存储桶中的数据,安全风险极高,建议严格遵循,避免数据安全风险。
- list权限支持查看存储桶中的object列表以及获取所有未执行完的分片上传任务,不建议授予所有用户list权限,请严格遵循最小权限原则。
- 单击 确定 完成配置。
- 配置完成后,您可以在 bucket 权限配置 中看到已生成的权限记录,并可通过"修改"和“删除”按钮对已有权限进行调整。
