如何使用权限组进行访问控制
权限组介绍
在文件存储 NAS 中,权限组是一个白名单机制,通过向权限组添加规则,来允许指定的 IP 或网段访问文件系统,并可以给不同的IP或网段授予不同级别的访问权限。
初始情况下,每个账号都会自动生成一个 [backcolor=transparent]VPC 默认权限组,该默认权限组允许 VPC 内的任何 IP 以最高权限(读写且不限制 root 用户)访问挂载点。
[backcolor=transparent]经典网络类型挂载点不提供默认权限组,且经典网络类型权限组规则授权地址只能是单个 IP 而不能是网段。
[backcolor=transparent]注意: 为了最大限度保障您的数据安全,强烈建议您谨慎添加权限组规则,仅为必要的地址授权。
创建权限组
如下图,在控制台上,单击右侧导航栏的 [backcolor=transparent]权限组 标签,然后单击右上角的 [backcolor=transparent]新建权限组,填入权限组名称即可创建一个新的权限组。
[backcolor=transparent]注意:一个阿里云账号最多可以创建 10 个权限组。
添加权限组规则
在权限组列表上单击 [backcolor=transparent]管理规则 进入权限组规则列表,您可以在这里添加或管理规则。
一条权限组规则包含四个属性,分别是:
| 属性 | 取值 | 含义 |
| 授权地址 | 单个 IP 地址或网段(经典网络类型只支持单个 IP) | 本条规则的授权对象。 |
| 读写权限 | 只读、读写 | 允许授权对象对文件系统进行只读操作或读写操作。 |
| 用户权限 | 不限制 root 用户、限制 root 用户、限制所有用户 | 是否限制授权对象的 Linux 系统用户对文件系统的权限:在判断文件或目录访问权限时,限制 root 用户将把 root 用户视为 nobody 处理,限制所有用户将把包括 root 在内的所有用户都视为 nobody。 |
| 优先级 | 1-100,1 为最高优先级 | 当同一个授权对象匹配到多条规则时,高优先级规则将覆盖低优先级规则。 |
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
在阿里云的文件存储NAS服务中,权限组是一种精细控制访问权限的重要功能,它帮助用户管理哪些IP或网段可以访问其文件系统,并且能够为不同的访问来源设置不同级别的访问权限。下面是对您提供的信息的一个总结和补充说明:
权限组的核心概念:
- 白名单机制:通过定义一系列规则,权限组确保只有被明确授权的IP地址或IP网段能够访问关联的文件系统。
- 默认权限组:每个阿里云账号在创建VPC类型的文件系统时,会自动获得一个默认权限组,该组允许VPC内所有IP以最高权限(读写权限,不限制root用户)访问。经典网络类型挂载点没有默认权限组,且规则只能针对单个IP。
- 安全建议:为了数据安全,应谨慎配置权限组规则,仅对确实需要访问的IP或网段进行授权。
创建权限组步骤:
- 登录阿里云控制台,进入文件存储NAS服务界面。
- 在右侧导航栏选择“权限组”标签。
- 点击右上角的“新建权限组”,并输入一个易于识别的权限组名称来创建。
注意事项:
- 每个阿里云账号限制最多创建10个权限组。
- 经典网络与VPC网络在权限组规则上的差异,需根据实际网络环境选择合适的配置方式。
添加权限组规则:
- 在权限组列表中,点击“管理规则”进入规则管理界面。
- 添加规则时需指定四个关键属性:授权地址、读写权限、用户权限、优先级。
- 授权地址:支持单个IP或网段(VPC环境下),经典网络下仅支持单个IP。
- 读写权限:可选只读或读写,决定授权对象的操作权限级别。
- 用户权限:控制是否限制root用户或其他特定用户的访问权限,增强安全性。
- 优先级:当存在多条匹配规则时,高优先级规则生效,范围从1到100,数值越小优先级越高。
通过上述机制,阿里云NAS的权限组功能为企业提供了灵活且安全的访问控制手段,确保数据资源得到有效的保护和管理。
