检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
OBS数据安全 OBS安全配置建议 减少因误操作导致的数据丢失风险
父主题: 桶管理
应用服务器:即提供该Android/iOS应用的开发者开发的APP后台服务,用于用户管理和授权管理等。 对象存储服务:即华为云对象存储服务,负责处理移动应用的数据请求。 统一身份认证服务:即华为云统一身份认证服务,负责生成临时安全凭证。
当使用HTTPS协议访问OBS系统时,由于SSL的通配符证书仅匹配不包含"."的桶。这将导致桶名包含"."的桶在访问OBS系统时,客户端会提示证书校验存在风险,比如浏览器安全提示会呈现红色告警。因此如非必要,请尽量不要在桶名中包含"."。
用户开通云审计服务并创建和配置追踪器后,CTS可记录OBS的管理事件和数据事件用于审计。 CTS的详细介绍和开通配置方法,请参见CTS快速入门。 CTS支持追踪的OBS管理事件和数据事件列表,请参见审计。
如果需要使用HTTPS,需要将证书导入CDN。详情请参见HTTPS证书配置。 配置步骤 在CDN控制台将准备好的自有域名添加为加速域名,并将OBS私有桶设置为源站。 详情请参见添加CDN加速域名。
在OBS管理控制台左侧导航栏选择“桶列表”。 在OBS管理控制台桶列表中,单击待操作的桶,进入“对象”页面。 在“对象”列表,单击待操作的对象,进入对象详情页面。 在“版本”页签,显示该对象的所有版本。 对多版本对象可做以下操作。
适用于需要用户保存和管理密钥的场景。 密钥管理 KMS服务生成和保管密钥,OBS使用密钥加密对象。 OBS服务生成和保管密钥,并使用密钥加密对象。 用户生成和保管密钥,OBS使用密钥加密对象。
管理员创建IAM用户后,需要将用户加入到一个用户组中,IAM可以对这个组授予OBS所需的权限,组内用户自动继承用户组的所有权限。 IAM权限介绍 桶策略 桶策略是作用于所配置的OBS桶及桶内对象的。
在OBS管理控制台左侧导航栏选择“桶列表”。 在OBS管理控制台桶列表中,单击待操作的桶,进入“对象”页面。 在左侧导航栏,单击“概览”,进入“概览”页面。 在“基础配置”区域下,单击“WORM保留策略”卡片,系统弹出“配置保留策略”对话框。
在OBS管理控制台左侧导航栏选择“桶列表”。 在OBS管理控制台桶列表中,单击待操作的桶,进入“对象”页面。 在左侧导航栏,单击“数据安全 > CORS规则”。 单击“复制”。 选择复制源,即CORS规则所在的源桶。
服务韧性 OBS提供五级可靠性架构,通过跨区域复制、AZ之间数据容灾、AZ内设备和数据冗余、存储介质的慢盘/坏道检测等技术方案,保障数据的持久性和可用性。 OBS的数据持久性高达99.9999999999%(12个9),可用性高达99.995%,远高于传统架构。 图1 五级可靠性架构保证数据稳定
数据保护技术 OBS通过多种数据保护手段和特性,保障存储在OBS中的数据安全可靠。 表1 OBS的数据保护手段和特性 数据保护手段 简要说明 详细介绍 传输加密(HTTPS) OBS支持HTTP和HTTPS两种传输协议,为保证数据传输的安全性,推荐您使用更加安全的HTTPS协议。
详情请参见生命周期管理。 如果您配置了跨区域复制规则,且选择的是增/删/改同步,则对源存储空间(桶)进行文件修改或删除操作时,操作会同步到目的Bucket。详情请参见跨区域复制。 没有正确的配置桶的访问权限,导致文件被他人恶意删除或覆盖。访问权限相关说明请参见权限管理。
使用OBS控制台 在OBS管理控制台左侧导航栏选择“桶列表”。 在OBS管理控制台桶列表中,单击待操作的桶,进入“对象”页面。 在左侧导航栏单击“数据安全>防盗链”,进入“防盗链”界面。 单击“白名单Referer”/“黑名单Referer”后的,输入白名单/黑名单。
详情请参见生命周期管理。 如果您配置了跨区域复制规则,且选择的是增/删/改同步,则对源存储空间(桶)进行文件修改或删除操作时,操作会同步到目的Bucket。详情请参见跨区域复制。 没有正确的配置桶的访问权限,导致文件被他人恶意删除或覆盖。访问权限相关说明请参见权限管理。
当使用HTTPS协议访问OBS系统时,由于SSL的通配符证书仅匹配不包含"."的桶。这将导致桶名包含"."的桶在访问OBS系统时,客户端会提示证书校验存在风险,比如浏览器安全提示会呈现红色告警。因此如非必要,请尽量不要在桶名中包含"."。
管理桶策略 开发过程中,您有任何问题可以在github上提交issue,或者在华为云对象存储服务论坛中发帖求助。接口参考文档详细介绍了每个接口的参数和使用方法。 除了桶访问权限外,桶的拥有者还可以通过桶策略,提供对桶和桶内对象的集中访问控制。 更多关于桶策略的内容请参考桶策略。
当使用HTTPS协议访问OBS系统时,由于SSL的通配符证书仅匹配不包含"."的桶。这将导致桶名包含"."的桶在访问OBS系统时,客户端会提示证书校验存在风险,比如浏览器安全提示会呈现红色告警。因此如非必要,请尽量不要在桶名中包含"."。
管理桶策略 开发过程中,您有任何问题可以在github上提交issue,或者在华为云对象存储服务论坛中发帖求助。接口参考文档详细介绍了每个接口的参数和使用方法。 除了桶访问权限外,桶的拥有者还可以通过桶策略,提供对桶和桶内对象的集中访问控制。 更多关于桶策略的内容请参考桶策略。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
