开发者学堂课程【云存储 - 对象存储管理与安全:云存储的安全设置】学习笔记,与课程紧密联系,让用户快速学习知识。
课程地址:https://developer.aliyun.com/learning/course/507/detail/6798
云存储的安全设置
内容介绍:
一、数据安全和可靠性
二、跨区域复制
三、安全控制: Bucket 权限控制
四、云存储 OSS 防盗链
五、服务器端加密存储
六、访问控制 RAM
七、演示
本节介绍云存储 OSS 的安全机制,例如对于 OSS 中的数据如何做灾备,怎么对OSS中的数据进行权限管控包括如何防止他人的盗链。
一、数据安全和可靠性
1、数据冗余
三份数据冗余备份,存储于不同交换机的不同机器中
2、备份容灾
提供同城多机房备份
3、碎片化存储
将文件拆分成多个碎片多副本,多磁盘存储
对于存储设备如果部分内容被窃取,也获取不到完整文件。
二、跨区域复制
存在于 OSS 中的数据默认情况下在一个地域中例如选定杭州地域,数据就在杭州,选择了北京地域,数据则在北京。如果对数据容灾有更高要求情况下可以使用跨区域复制。从当前地域复制到另一个地域中做相关配置,数据同步实时。保证业务在极端环境下具备可用性和连续性。
面向企业的云存储灾备解决方案
>跨区域数据复制
>数据更新实时发起同步
>实现数据的异地容灾
>保障业务在极端环境下连续性
>支持双向同步,区域多活
>数据就近上传
实现步骤:
第一步∶云存储 OSS 控制台-》冗余与容错-》跨区域复制中开启同步
第二步:设置同步目标的地域,Bucket,数据同步对象等属性。
三、安全控制:Bucket 权限控制
OSS 提供 Bucket 级别的权限访问控制
1、Public-read-write
任何人都可以对该 Bucket 中的 Object 进行 PUT,Get 和 Delete 操作
2、Public-read
Bucket 的创建者可以对该 Bucket 内的 Object 进行写操作(包括 PUT 和 Delete Object )
任何人(包括匿名访问)可以对该 Bucket 中的 Object 进行读操作( Get Object )
3、Private
只有该 Bucket 的创建者可以对该 Bucket 内的 Object 进行读写操作(包括 PUT 和 Get Object )其他人无法访问该 Bucket 内的 Object
创建 Bucket 时默认为 private 权限。可以通过 OSS 的 Put Bucket ACL 接口修改该 Bucket 的权限
四、云存储 OSS 防盗链
存在于 OSS 中的数据例如其中的一些对象我们只希望用在某一些应用中,不被未授权的网站或应用访问。未经授权访问会消耗大量的流量费用还有访问读写次数费用。通过云存储 OSS 防盗链设置允许哪些应用或网站进行访问。
OSS 是按使用收费的服务,为了防止用户在 OSS 上的数据被其他人盗链,OSS 支持基于 HTTP header 中表头字段 referer 的防盗链方法。
通过 OSS 的控制台可以对一个 bucket 设置 referer 字段的白名单和是否允许 referer 字段为空的请求访问。
五、服务器端加密存储
希望对数据的私密性做一些控制可以进行服务器端加密存储,存在 OSS 中的数据可以使用 AES256 加密算法对数据进行进一步加密编码保存到 OSS 中。
1. OSS 支持在服务器端对用户上传的数据进行加密编码
2. 文件上传时指定 x-oss-server-side-encryption=AES2563
3. 对加密编码的文件,访问方式与非加密文件一样
-文件上传时,OSS 对用户数据进行加密编码,并保存
-文件下载时,OSS 自动对文件进行解密,并在返回的 HTTP request 中声明
此文件使用了服务器端加密
4. 服务器端加密支持的操作
- Put Object
- Copy Object
- Initiate Multipart Upload
5. 支持的加密算法
AES256
六、访问控制 RAM
想要对 OSS 进行更进一步的管控,例如企业中有很多账号,有不同人都通过不同权限来使用 OSS 时可以使用 RAM 访问控制机制。
访问控制( Resource Access Management )是一个稳定可靠的集中式访问控制服务。您可以通过访问控制将阿里云资源的访问及管理权限分配给您的企业成员或合作伙伴。
先通过一个主账号创建对应的子账号,再授予子账号相关的权限。例如授权的子账号只能读取 OSS 中的某个 Bucket 中的权限,并没有完全的访问权限时,可以通过这种访问机制 RAM 来做集中式的访问控制服务。
七、演示
打开 OSS 控制台,点击 Bucket 列表,进入到某个 bucket 中,找到冗余与容错,点击跨区域复制
此处可以开启同步,可以将本地区域华东 2(上海)同步到其它地域,例如华北2(北京),选择一个目标 Bucket 未 handbook-cloudcare,可以选择指定文件名前缀进行同步,设置为 abc。设置数据同步策略为写同步,选择同步历史数据,点击确定进行同步。
防盗链演示
点击权限管理中的防盗链
此处可以进行设置,referer 设置为 www.aliyun.com,这样 HTTp Referer 白名单中就设置成阿里云的网站去引用 bucket 的数据。其他人不能盗用数据。
此外还有读写权限的设置,有三种 bucket ACL:私有权限(除 bucket 拥有者本身,其他人想访问操作都需要进行身份验证)、公共读(权限比私有权限风险高,选择继续修改可以设置为公共读,其他所有人都可以进行读,但是写权限需要进行身份验证)、公共读写(权限更高,所有人都可以读写 Bucket 中的数据)。
如果觉得对 bucket 级别进行这三种权限的管理力度太粗可以进行更加精细化管控,使用阿里云访问控制的功能,进入到访问控制的服务中,点击权限策略管理
可以看到有很多种的权限管理针对阿里云不同的服务,可以看到有管理对象存储(OSS)所有权限。还有只读权限,进入只读权限,可以看到只能 Get 和 List
上述提到的两种为系统策略,还有一种自定义策略,可以使用权限策略语法进行设置。
例如对现在限定的资源 OSS 中的 bucket 目录中的对象可以进行获得相应 Object、上传 Object、删除 Object、列出所有信息、禁止分块上传的操作,都可以进行细力度化操作。
