文档中心

上云无忧 > 文档中心 > 百度智能云对象存储BOS的访问控制
百度智能云
对象存储BOS
简介/价格/文档
百度智能云对象存储BOS的访问控制

文档简介:
百度智能云对象存储BOS提供读写权限ACL、粗细粒度的自定义授权策略、防盗链白名单等功能,实现存储资源访问的控制和管理。 读写权限: BOS为权限控制提供访问控制列表(ACL)。ACL是授予Bucket和Object访问权限的访问策略。
*此产品及展示信息均由百度智能云官方提供。免费试用 咨询热线:400-826-7010,为您提供专业的售前咨询,让您快速了解云产品,助您轻松上云! 微信咨询
  免费试用、价格特惠

百度智能云对象存储BOS提供读写权限ACL、粗细粒度的自定义授权策略、防盗链白名单等功能,实现存储资源访问的控制和管理。

读写权限

BOS为权限控制提供访问控制列表(ACL)。ACL是授予Bucket和Object访问权限的访问策略。 您可以在创建存储空间(Bucket)或上传对象(Object)时配置ACL,也可以在创建Bucket或上传Object后的任意时间内修改ACL。

Bucket ACL

Bucket ACL是Bucket级别的权限访问控制。目前有三种访问权限,含义如下:

  • Bucket 标准权限:

业界常见的权限设置,分为私有、公共读和公共读写。

权限名称 权限说明
私有(private) Bucket 创建者独享该 Bucket 的全部权限,其他人不能对该Bucket 写入数据,也不可访问读取该 Bucket。
适用于存储私密文件的场景。
公共读(public-read) Bucket 创建者独享该 Bucket 的全部权限,其他人可以访问读取该 Bucket 内的内容,但无权写入。
适用于存储需要公众读取的文件的场景,如通知性文件、广告内容等。
请注意:若开启该种权限,互联网上的所有用户都可以对该 Bucket 内的文件进行访问读取,请谨慎开启。
公共读写 (public-read-write) 包括 Bucket 创建者在内的任何人都可以访问和写入文件。
请注意:若开启该种权限,互联网上的所有用户都可以对该 Bucket 内的文件进行读写操作,请谨慎开启。

但以上简单标准权限无法满足您自定义权限管理的需求时,您可以使用以下自定义权限管理

  • 粗粒度自定义权限: 较标准权限更细粒度的权限,可对指定用户设置 READ、LIST、WRITE、FULL_CONTROL 和 MODIFY 权限,并可以指定该权限可访问的资源,以及指定具有该权限的 IP 地址和 Referer 白名单等。更多信息,请参见权限介绍-粗粒度自定义权限定义。
  • 细粒度自定义权限: BOS 提供的 API 级别细粒度自定义权限。可设置的 API 类别包括 GetBucket、GetObject、PutObject、DeleteObject 在内的共 18 种。您可以对每种类别自定义相应的访问权限。 更多信息,请参见权限介绍-细粒度自定义权限定义。

Object ACL

Object ACL是Object级别的权限访问控制。目前有2种访问权限,含义如下:

权限名称 权限说明
私有(private) 只有该Object的Owner拥有该Object的读写权限,其他的用户没有权限操作该Object。
公共读(public-read) 所有用户只有该Object的读权限,而Object Owner拥有该Object的读写权限。

细节说明:

  • 如果 Object 没有设置权限,则 Object ACL 为空,默认以 Bucket 权限为准。
  • Object ACL 优先级高于 Bucket ACL,例如用户设置了 Object 的权限是 public-read,无论 Bucket 是什么权限,该 Object 都可以被访问。
  • 目前 Object ACL 鉴权只对 GetObjectMeta、GetObject、CopyObject、UploadPartCopy 四个接口生效。

更多信息,请参见Object权限控制。

IAM主子用户访问控制

在您的百度云账号下面,通过 IAM 可以创建具有自己 AccessKey 的子用户。您的百度云账号被称为主账号,创建出来的账号被称为子用户,使用子用户的 AccessKey 只能使用主账号授权的操作和资源,BOS已经接入IAM子用户系统,通过控制台多用户访问控制创建子用户,主用户通过关联策略实现授权给子用户,策略文件本质上是一个JSON文件。策略语句中permission和resource用来定义权限和资源,更多细节,请参考IAM主子用户访问控制。

STS临时授权

BOS可以通过STS机制实现第三方的临时授权访问。STS(Security Token Service)是百度智能云提供的临时授权服务。通过STS,您可以为第三方用户颁发一个自定义时效和权限的访问凭证。第三方用户可以使用该访问凭证直接调用百度智能云的API访问百度智能云资源。更多信息,请参见临时授权访问。

防盗链白名单

对象存储BOS是按使用量收费的服务。为了减少您存储于BOS的数据被其他人盗链而产生额外费用,BOS支持设置基于HTTP和HTTPS header中表头字段Referer的防盗链方法。

您可以设置防盗链白名单,仅允许指定的域名访问BOS资源,或者仅允许HTTP或HTTPS header中包含Referer字段的请求才能访问BOS资源。对于公共读或公共读写的Bucket,防盗链白名单可以有效防止盗链,保护您的合法权益。详情请参见设置Referer白名单。

相似文档
  • 百度智能云对象存储BOS的数据加密
    对象存储BOS提供服务器端加密和客户端加密,并支持基于SSL/TLS的HTTPS加密传输,有效防止数据在云端的潜在安全风险。 服务器端加密: BOS支持在服务器端对上传的数据进行加密(Server-Side Encryption)。
  • 百度智能云对象存储BOS的监控审计
    对象存储BOS提供访问日志的存储和查询功能,并支持Bucket操作日志透明化,满足您对企业数据的监控审计需求。 日志转存: 访问对象存储BOS的过程中会产生大量的访问日志,您可以通过日志转存功能将这些日志按照固定命名规则,以小时为单位生成日志文件写入您指定的Bucket。
  • 百度智能云对象存储BOS的数据容灾
    对象存储BOS供多AZ存储(同城冗余存储),以及跨区域与同地域复制特性,实现同地域和跨地域级别的机房容灾能力。 多AZ存储: 用户开启多AZ存储后,BOS将用户的数据分散存放在同一地域(Region)的多个可用区。
  • 百度智能云对象存储BOS的数据保留合规
    BOS支持WORM(Write once read many)特性,允许用户以“不可删除、不可篡改”方式保存和使用数据,数据更加安全,可满足数据合规存储的需求。 BOS提供强合规策略,您可以针对Bucket设置基于时间的合规保留策略。
  • 百度智能云对象存储BOS的数据安全
    当开发者在 BOS 进行数据存储和管理时,基于更高的数据可靠性要求,BOS提供回收站功能,防止数据的误删除,提供对误删除的数据进行找回,为数据管理提供了更高的可靠性,您可以在存储桶维度开启回收站功能,从此数据保护安全更加无忧。
官方微信
联系客服
400-826-7010
7x24小时客服热线
分享
  • QQ好友
  • QQ空间
  • 微信
  • 微博
返回顶部