检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
配置双端固定实现VPC粒度的访问控制 操作场景 使用“双端固定”特性,即同时设置VPC终端节点策略与桶策略,可以对OBS的资源提供VPC粒度的权限控制。
区域(Region):从地理位置和网络时延维度划分,同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。
OBS的ACL为了实现用户简单实用地授权,包含以下特点: ACL对租户和租户下的用户都生效。 桶和对象的拥有者相同时,设置桶上的ACL默认对桶及桶中对象都生效。 桶创建时可以携带ACL,也可以创建成功后设置ACL;对象上传时可以携带ACL,也可以上传成功后再单独设置。
SSE-KMS方式加密的对象即使设置了ACL,跨租户也不生效。 OBS用户在上传对象时可以设置权限控制策略,也可以通过ACL操作API接口对已存在的对象更改或者获取ACL(access control list) 。一个对象的ACL最多支持100条Grant授权。
专属对象存储 专属云 专属云(Dedicated Cloud)是面向企业、政府、金融等客户,提供计算、存储资源池以及网络、管控多级隔离的综合解决方案。租户独享专属资源池,与公共租户资源物理隔离,满足特定性能、应用及安全合规等要求,为客户提供可靠、便捷的云上“头等舱”。
请求示例 1 向OBS租户授予权限 给租户ID为783fc6652cf246c096ea836694f71855的租户授权。 如何获取租户ID请参考获取账号、IAM用户、项目、用户组、区域、委托的名称和ID。示例中桶策略字段的详细说明,具体请参考桶策略参数说明。
建议使用双端固定,即同时设置VPC终端节点策略与桶策略,对OBS的资源进行权限控制 设置VPC终端节点策略可以限制VPC中的服务器(ECS/CCE/BMS)访问OBS中的特定资源;同时,设置桶策略可以限定OBS中的桶被特定VPC中的服务器访问,从而在请求来源和被访问资源两个角度保证
对于桶操作接口,请求数组中固定包含Bucket用于指定桶名(ObsClient->listBuckets除外);对于对象操作接口,请求数组中固定包含Bucket和Key分别用于指定桶名与对象名。
创建VPC 虚拟私有云可以为您构建隔离的、用户自主配置和管理的虚拟网络环境,操作指导请参考创建虚拟私有云和子网。 创建SFS Turbo HPC型文件系统 创建SFS Turbo文件系统,文件系统类型选择“HPC型”,操作指导请参考创建SFS Turbo文件系统。
须知: 确保待访问的OBS资源与ECS属于同一个区域。如果不属于同一个区域,将采用公网访问。 虚拟私有云(VPC) VPC主要负责为ECS构建隔离的、用户自主配置和管理的虚拟网络环境,提升用户云中资源的安全性,简化用户的网络部署。
约束与限制 本章介绍OBS的性能指标和使用限制。 访问带宽和QPS 表1 访问带宽和QPS限制 限制项 说明 带宽 单个华为云账号默认的读写(GET/PUT)带宽上限是16Gbit/s。如果带宽达到该阈值,请求会触发流控。 如果您的业务有更大的带宽需求,请提交工单申请。
OBS的ACL为了实现用户简单实用地授权,包含以下特点: ACL对租户和租户下的用户都生效。 桶和对象的拥有者相同时,设置桶上的ACL默认对桶及桶中对象都生效。 桶创建时可以携带ACL,也可以创建成功后设置ACL;对象上传时可以携带ACL,也可以上传成功后再单独设置。
约束限制: Owner和Grants必须配套使用,且与ACL互斥。 Grants []Grant 可选 参数解释: 被授权用户权限信息,详见Grant。 默认取值: 无 表3 AclType 常量名 原始值 说明 AclPrivate private 私有读写。
取值范围: True:桶内传递对象 False:不向桶内传递对象 默认取值: False 表3 HeadPermission 常量名 原始值 说明 HeadPermission.PRIVATE private 私有读写。
约束限制: Owner和Grants必须配套使用,且与ACL互斥。 Grants Grant[] 可选 参数解释: 被授权用户权限信息,详livered见Grant。 默认取值: 无 表3 AclType 常量名 原始值 说明 PRIVATE private 私有读写。
默认取值: AccessControlList.REST_CANNED_PRIVATE 表3 ACL预定义访问策略 常量名 说明 AccessControlList.REST_CANNED_PRIVATE 私有读写。
表10 ACL预定义访问策略 常量名 说明 AccessControlList.REST_CANNED_PRIVATE 私有读写。 桶或对象的所有者拥有完全控制的权限,其他任何人都没有访问权限。
SourceVpce String 请求发起的VPC终端节点ID。 说明: 仅华南-广州、华东-上海一区域支持。 SourceVpc String 请求发起的VPC ID。 说明: 仅华南-广州、华东-上海一区域支持。
默认取值: 无 表2 AclType 常量名 原始值 说明 ObsClient.enums.AclPrivate private 私有读写。 桶或对象的所有者拥有完全控制的权限,其他任何人都没有访问权限。
《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施,包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题: 安全
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
