访问控制 -奇异果体育app竞彩官网下载
百度智能云对象存储bos提供读写权限acl、粗细粒度的自定义授权策略、防盗链白名单等功能,实现存储资源访问的控制和管理。
读写权限
bos为权限控制提供访问控制列表(acl)。acl是授予bucket和object访问权限的访问策略。 您可以在创建存储空间(bucket)或上传对象(object)时配置acl,也可以在创建bucket或上传object后的任意时间内修改acl。
bucket acl
bucket acl是bucket级别的权限访问控制。目前有三种访问权限,含义如下:
- bucket 标准权限:
业界常见的权限设置,分为私有、公共读和公共读写。
| 权限名称 | 权限说明 |
|---|---|
| 私有(private) | bucket 创建者独享该 bucket 的全部权限,其他人不能对该bucket 写入数据,也不可访问读取该 bucket。 适用于存储私密文件的场景。 |
| 公共读(public-read) | bucket 创建者独享该 bucket 的全部权限,其他人可以访问读取该 bucket 内的内容,但无权写入。 适用于存储需要公众读取的文件的场景,如通知性文件、广告内容等。 请注意:若开启该种权限,互联网上的所有用户都可以对该 bucket 内的文件进行访问读取,请谨慎开启。 |
| 公共读写 (public-read-write) | 包括 bucket 创建者在内的任何人都可以访问和写入文件。 请注意:若开启该种权限,互联网上的所有用户都可以对该 bucket 内的文件进行读写操作,请谨慎开启。 |
但以上简单标准权限无法满足您自定义权限管理的需求时,您可以使用以下自定义权限管理
- 粗粒度自定义权限: 较标准权限更细粒度的权限,可对指定用户设置 read、list、write、full_control 和 modify 权限,并可以指定该权限可访问的资源,以及指定具有该权限的 ip 地址和 referer 白名单等。更多信息,请参见。
- 细粒度自定义权限: bos 提供的 api 级别细粒度自定义权限。可设置的 api 类别包括 getbucket、getobject、putobject、deleteobject 在内的共 18 种。您可以对每种类别自定义相应的访问权限。 更多信息,请参见。
object acl
object acl是object级别的权限访问控制。目前有2种访问权限,含义如下:
| 权限名称 | 权限说明 |
|---|---|
| 私有(private) | 只有该object的owner拥有该object的读写权限,其他的用户没有权限操作该object。 |
| 公共读(public-read) | 所有用户只有该object的读权限,而object owner拥有该object的读写权限。 |
细节说明:
- 如果 object 没有设置权限,则 object acl 为空,默认以 bucket 权限为准。
- object acl 优先级高于 bucket acl,例如用户设置了 object 的权限是 public-read,无论 bucket 是什么权限,该 object 都可以被访问。
- 目前 object acl 鉴权只对 getobjectmeta、getobject、copyobject、uploadpartcopy 四个接口生效。
更多信息,请参见。
iam主子用户访问控制
在您的百度智能云账号下面,通过 iam 可以创建具有自己 accesskey 的子用户。您的百度智能云账号被称为主账号,创建出来的账号被称为子用户,使用子用户的 accesskey 只能使用主账号授权的操作和资源,bos已经接入iam子用户系统,通过控制台多用户访问控制创建子用户,主用户通过关联策略实现授权给子用户,策略文件本质上是一个json文件。策略语句中permission和resource用来定义权限和资源,更多细节,请参考iam主子用户访问控制。
sts临时授权
bos可以通过sts机制实现第三方的临时授权访问。sts(security token service)是百度智能云提供的临时授权服务。通过sts,您可以为第三方用户颁发一个自定义时效和权限的访问凭证。第三方用户可以使用该访问凭证直接调用百度智能云的api访问百度智能云资源。更多信息,请参见临时授权访问。
防盗链白名单
对象存储bos是按使用量收费的服务。为了减少您存储于bos的数据被其他人盗链而产生额外费用,bos支持设置基于http和https header中表头字段referer的防盗链方法。
您可以设置防盗链白名单,仅允许指定的域名访问bos资源,或者仅允许http或https header中包含referer字段的请求才能访问bos资源。对于公共读或公共读写的bucket,防盗链白名单可以有效防止盗链,保护您的合法权益。详情请参见。