检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
OBS安全配置建议 安全性是华为云与您的共同责任。华为云负责云服务自身的安全,提供安全的云;作为租户,您需要合理使用云服务提供的安全能力对数据进行保护,安全地使用云。详情请参见责任共担。 本文提供了OBS使用过程中的安全最佳实践,旨在为提高整体安全能力提供可操作的规范性指导。根据
OBS提供了服务端加密功能,用户可以使用加密的方式上传对象,数据会在服务端加密成密文后存储。用户下载加密对象时,存储的密文会先在服务端解密为明文,再提供给用户。 OBS提供的多种访问方式中,对于对象加密上传的支持情况不同,具体如表1所示。 表1 对象加密上传在不同访问方式下的支持情况 访问方式 是否支持对象加密上传
com”。 选择“基本配置”页签。 在源站配置模块,单击编辑。 选择源站类型为OBS桶域名,桶类型选择“私有桶”,其余选项配置请参见CDN源站配置。 单击“保存”按钮,完成源站添加。 如果您账号下的此域名是初次配置OBS私有桶回源,您还需要先对CDN进行云资源委托授权,授权成功后
新增头域 SSE-KMS方式新增加两个头域,用户可以通过配置表1中的头域来实现SSE-KMS加密。 您也可以通过配置桶的默认加密方式来对桶内的对象进行加密。在为桶配置默认加密后,对于任何不带加密头域的上传对象的请求,将使用桶的默认加密配置进行加密。有关桶的加密配置的更多信息请参考设置桶的加密配置章节。
请求方式介绍 通过永久访问密钥访问OBS 通过临时访问密钥访问OBS 通过临时URL访问OBS 通过IAM委托换取临时访问密钥访问OBS
权限控制方式介绍 IAM权限 桶策略 ACL
CTS审计信息,CDN加速域名,KMS密钥等。因此除了配置OBS的权限外,还需要配置其他服务的访问权限。其中CDN属于全局服务,CTS、KMS等属于区域级服务,需要根据您实际使用到的服务和区域分别在全局项目和对应区域项目中配置Tenant Guest权限。 { "Version":
策略是通过配置资源来实现对象匹配的,资源可配置“*”(表示所有对象)或对象前缀(表示对象集)。对象策略则是直接选定对象后,配置到选定的对象资源的策略。 对象策略模板: OBS控制台预置了两种常用典型场景的对象策略模板,用户可以使用模板创建对象策略,快速完成对象策略配置。 选择使用
Browser+挂载外部桶、API&SDK等方式访问到该桶。 授予日志投递用户组桶写入权限,用以存储桶访问请求日志。 对象ACL应用场景 在以下场景,建议您使用对象ACL: 需要对象级的访问权限控制时。桶策略可以授予对象或对象集访问权限,当授予一个对象集权限后,想对对象集中某一个对象再进行单独授权,通过配置桶策略的
ACL、桶ACL。各个方式说明及应用场景如表1所示。 图1 OBS权限控制方式 表1 OBS权限控制方式说明和应用场景 方式 说明 应用场景 IAM权限 IAM权限是作用于云资源的,IAM权限定义了允许和拒绝的访问操作,以此实现云资源权限访问控制。管理员创建IAM用户后,需要将用
配置挂载外部桶 OBS Browser+支持挂载外部桶功能。 前提条件 已获得访问其他用户的桶的相应ACL权限。 例如:账户A需要挂载账户B下的桶“bucket_share”以便于读取账户B下的桶“bucket_share”中的对象,则账户B需要先获取账户A的“账户ID”并通过O
对于文件分享,归档存储或深度归档存储对象需恢复后才能分享;对于文件夹分享,归档存储或深度归档存储对象需在原桶恢复后才能下载。 配置方法 对于文件和文件夹的分享方法,请参见向所有账号临时分享对象。 父主题: 请求方式介绍
注册华为账号并开通华为云 在使用obsfs之前,您需要拥有一个华为账号并且成功开通OBS。OBS提供按需和资源包两种计费方式,充值或购买资源包即开通OBS服务。成功开通OBS后即可进行访问和使用。如果您已有账号且账号已开通OBS服务,可以略过此部分内容。 打开华为云网站www.huaweicloud
进行加密签名,可标识发送方,并防止请求被修改。 AK可唯一标识公有云IAM用户,OBS根据AK/SK确认请求者身份,并进行权限检查。 获取永久访问密钥的方法,请参见获取访问密钥(AK/SK)。 父主题: 请求方式介绍
使用者最终的有效权限。 图1 IAM用户权限和临时权限交集 临时访问密钥遵循权限最小化原则,建议在IAM用户原有权限范围内配置临时策略,以免在使用时产生配置了临时策略却没有对应权限的疑惑。如下图所示,使用者最终的有效权限即为设置的临时权限。 图2 临时权限设置在IAM用户权限范围内
当使用如下工具访问OBS资源时,需配置AK/SK用于生成鉴权信息进行安全认证。 表1 OBS资源管理工具 工具 AK/SK配置方式 OBS Browser+ 在配置登录账号时配置AK和SK,详情请参见登录OBS Browser+。 obsutil 在初始化配置时配置AK和SK,详情请参见初始化配置。 obsfs
州、西南-贵阳一 只支持HTTP方式访问,不支持HTTPS方式访问。 配置步骤 为OBS桶绑定自定义域名。 绑定的方法请参见绑定自定义域名。按照参考文档配置时,不需要开启CDN加速,CNAME配置为OBS桶域名。 验证对象是否可以在线预览。 配置成功后,将“http://自定义域
要手动调用接口获取凭证,委托其他云服务系统会自动获取凭证。 关于IAM委托的相关介绍,请参考《统一身份认证服务用户指南》。 父主题: 请求方式介绍
服务端加密SSE-OBS方式 功能介绍 SSE-OBS方式,OBS使用服务自身提供的密钥进行服务端加密。与SSE-KMS的区别在于SSE-OBS是OBS管理密钥,而非KMS。 新增头域 SSE-OBS方式用户可以通过配置表1中的头域来实现SSE-OBS加密。 您也可以通过配置桶的默认加密方式来对桶
华为云MapReduce服务(MRS)是华为云提供的大数据服务,可以在华为云上部署和管理Hadoop系统,一键即可部署Hadoop集群。 MRS提供用户完全可控的一站式企业级大数据集群云服务,完全兼容开源接口,结合华为云计算、存储优势及大数据行业经验,为客户提供高性能、低成本、灵活易用的全栈大数据平台,轻松运行