检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
安全 责任共担 身份认证与访问控制 数据保护技术 审计与日志 服务韧性 监控安全风险 认证证书
建议使用双端固定,即同时设置VPC终端节点策略与桶策略,对OBS的资源进行权限控制 设置VPC终端节点策略可以限制VPC中的服务器(ECS/CCE/BMS)访问OBS中的特定资源;同时,设置桶策略可以限定OBS中的桶被特定VPC中的服务器访问,从而在请求来源和被访问资源两个角度保证
如果确认输入的账号密码无误,则可能的原因是您使用的账号为华为账号而非华为云账号,当前由于IAM不支持通过华为账号获取账号Token,因此无法通过华为账号直接登录OBS Browser+。
同时,OBS控制台支持监控账号下的资源总用量,以及单桶的用量统计,详情请参见查看用量。 父主题: 安全
图2 查看桶策略列表权限配置信息 验证 权限设置成功后,在桶“概览”页的“域名信息”找到“访问域名”。将“访问域名”的URL公布到互联网上,互联网所有用户便可以访问该桶。 在桶“对象”页的“对象”页签下单击目标对象名称,找到对象链接。
系统默认服务器为HTTPS服务器,如需使用HTTP服务器,请单击页面右上角的图标并单击“系统配置”,在弹出的“系统配置”窗口,取消对“启用HTTPS安全传输协议”的勾选。
配置须知 按照本案例配置后,被授权账号可以正常通过API或SDK完成桶ACL设置和获取操作,此外允许通过OBS Browser+挂载外部桶的方式完成桶ACL设置和获取,但还需要额外配置一条ListBucket的权限才能挂载成功。暂不支持在OBS控制台访问非本账号的OBS桶。
配置须知 本案例预置的“桶读写”模板允许其他账号对整个桶及桶内所有对象执行除以下权限以外的所有权限: DeleteBucket:删除桶 PutBucketPolicy:设置桶策略 PutBucketAcl:设置桶ACL 按照本案例配置后,被授权账号可以正常通过API或SDK完成读写操作
在这种情况下,该公司便可以为这部分数据设置所有账号的读取权限,然后将这些数据对应的URL公开在互联网上,所有人就可以使用这个URL访问或下载这些公开数据了。
OBS支持的动作 这里的账号指华为云账号本身,不包含账号下的IAM用户,如果要为IAM用户授权,请参见对其他账号下的IAM用户授予桶和桶内资源的访问权限。 推荐配置方法 对其他账号授权,推荐使用桶策略。
我的数据存在OBS中,如何保证安全性? OBS是非常安全的,提供端到端的安全服务。 保证数据正确性:系统会定期对数据做扫描,仅限于判断数据块是否存在和被损坏(如有损坏,会启动修复),且不会读取数据的具体内容。
图2 查看桶策略列表权限配置信息 验证 权限设置成功后,在文件夹中单击对象名称,页面上“链接”显示该对象的访问地址。将“链接”中对象对应的URL公布到互联网上,互联网所有用户便可以访问或下载该对象。 父主题: 对所有账号授权
获取账号、IAM用户、项目、用户组、区域、委托的名称和ID 获取账号、IAM用户、项目的名称和ID 从控制台获取账号名、账号ID、用户名、用户ID、项目名称、项目ID 在华为云首页右上角,单击“控制台”。 在右上角的用户名中选择“我的凭证”。
图4 访问直接分享链接示例图 父主题: 对所有账号授权
对其他账号授予指定对象的读权限 场景介绍 本案例介绍如何为其他账号授予OBS桶中某个对象或某类对象的读权限。这里的账号指华为云账号本身,不包含账号下的IAM用户,如果要为IAM用户授权,请参见对其他账号下的IAM用户授予桶和桶内资源的访问权限。
“*”,此处选择“任意” 如果桶策略设置的资源为指定对象或对象集,此处应通过资源路径指定与桶策略相同的对象或对象集 【格式】 obs:*:*:object:桶名称/对象名称 本例中桶策略设置“*”,所以此处选择“任意” 选择“特定资源 > bucket > 通过资源路径指定”指定桶资源
数据安全、迁移和备份 我的数据存在OBS中,如何保证安全性? OBS数据删除或覆盖后是否可以恢复? 在使用访问密钥AK和SK访问OBS过程中,AK和SK是否可以更换或多个用户共享? 如何迁移数据至OBS? OBS如何实现备份和容灾?
对其他账号授权 对其他账号授予桶的读写权限 对其他账号授予桶的指定操作权限 对其他账号下的IAM用户授予桶和桶内资源的访问权限 对其他账号授予指定对象的读权限 对其他账号授予指定对象的指定操作权限 父主题: 典型场景配置案例
对所有账号授权 对所有账号授予桶的公共读权限 对所有账号授予指定目录的读权限 对所有账号授予指定对象的读权限 向所有账号临时分享对象 父主题: 典型场景配置案例
数据安全 服务端加密 配置对象锁定(WORM)防止对象被更改或删除 配置CORS实现跨域访问OBS 配置防盗链防止非法流量盗用 配置双端固定实现VPC粒度的访问控制