对象存储服务 OBS-OBS安全配置建议:正确的使用OBS提供的访问控制能力保护数据不泄露、不被篡改
下载对象存储服务 OBS用户手册完整版
正确的使用OBS提供的访问控制能力保护数据不泄露、不被篡改
正确的使用OBS提供的访问控制能力,可以有效预防您的数据被异常窃取或者破坏。
- 建议对不同角色的 IAM 用户仅设置最小权限,避免权限过大导致数据泄露或被误操作
为了更好的进行权限隔离和管理,建议您配置独立的IAM管理员,授予IAM管理员IAM策略的管理权限。IAM管理员可以根据您业务的实际诉求创建不同的用户组,用户组对应不同的数据访问场景,通过将用户添加到用户组并将IAM策略绑定到对应用户组,IAM管理员可以为不同职能部门的员工按照最小权限原则授予不同的数据访问权限,详情请参见部门公共数据权限管理和策略语法。
- 利用桶策略保护您的数据不被异常读取和操作
仅在资源上配置实际业务处理中所需权限,避免权限配置过大导致数据被错误分享给他人。详情请参见OBS权限控制概述。
OBS的桶策略支持多种Condition条件灵活设置,每一个Condition都是一个新的安全控制维度,建议您通过配置Condition进一步限定数据访问的上下文,如通过拒绝非指定源IP或非指定VPC对桶的访问,限制数据只能被指定客户端访问,避免数据被窃取。详情请参见限制指定IP地址对桶的访问权限、配置双端固定和桶策略参数说明。
- 建议使用双端固定,即同时设置 VPC终端节点 策略与桶策略,对OBS的资源进行权限控制
设置VPC终端节点策略可以限制VPC中的服务器(E CS /CCE/BMS)访问OBS中的特定资源;同时,设置桶策略可以限定OBS中的桶被特定VPC中的服务器访问,从而在请求来源和被访问资源两个角度保证OBS数据的安全性。详情请参见配置双端固定。
- 建议将需要公开访问的对象和私有的对象使用不同的桶进行存储,从而简化您的访问控制策略
推荐将需要公开访问的对象和私有的对象使用不同的桶进行存储。公开桶内请勿存放敏感数据,同时请避免私有桶误配置授权公开访问的桶策略导致私有对象泄露,建议存储私有对象的桶通过Condition进一步限制可以访问数据的源端确保数据不被外部攻击者窃取。详情请参见限制指定IP地址对桶的访问权限。
- 建议使用OBS的数据临时分享功能来快速分享指定数据,无需进行复杂的桶策略编写
当需要将存放在OBS中对象(文件或文件夹)分享给其他用户时,建议使用OBS的数据临时分享功能,分享的URL可指定有效期,过期自动失效,避免数据长期暴露给其他用户导致泄露。详情请参见通过临时URL访问OBS。
- 开启敏感操作多因子认证保护您的数据不被误删
OBS支持敏感操作保护,开启后执行删除桶等敏感操作时,系统会进行身份验证,进一步保证OBS配置和数据的安全性,对数据的高危操作进行控制。详情请参见敏感操作。
