文档首页/ 对象存储服务 OBS/ 用户指南/ 数据安全/ 配置双端固定实现VPC粒度的访问控制
更新时间:2025-09-15 GMT+08:00
查看PDF
分享

配置双端固定实现VPC粒度的访问控制

应用场景

使用“双端固定”特性,可以对OBS中的资源提供VPC粒度的权限控制,确保云上数据在一个安全的网络环境内传输,降低未授权访问风险。双端固定适用于以下场景:

  • 保护重要数据不通过公网传输,只有指定用户可以通过内网访问。例如,医疗行业存储在OBS中的医疗影像、电子病例等敏感信息,由于合规要求不能在公网传输,只能由华为云某个特定VPC中的服务器(ECS/CCE/BMS)通过内网访问,来自其他VPC的访问都会被拒绝。
  • 共享OBS中的数据,针对来自不同VPC的访问授予不同权限。例如,企业在OBS中存储的数据需要在不同部门之间共享,不同部门需要设置不同的访问权限,比如在VPC1的开发团队拥有所有数据的读写权限,在VPC2的测试团队拥有所有数据的读权限,在VPC3的其他团队只有部分数据的读权限。

背景信息

虚拟私有云(Virtual Private Cloud,以下简称VPC)是您在云上的私有网络,为云服务器、云容器、云数据库等云上资源构建隔离、私密的虚拟网络环境。您可以在这个私有网络里创建和管理自己的云上资源,安全又灵活。了解更多请参见什么是VPC?

VPC终端节点(VPC Endpoint,以下简称VPCEP),能够将VPC私密地连接到终端节点服务(比如对象存储服务,即OBS),VPC中的云资源无需弹性公网IP就能够访问OBS,提高了访问效率,为您提供更加灵活、安全的组网方式。了解更多请参见什么是VPCEP?

您可以通过VPCEP将OBS中的数据共享给云上VPC。您还可以通过云专线虚拟专用网络(VPN)等将OBS中的数据共享给用户本地数据中心,构建混合云网络,灵活整合资源。

图1 将OBS中存储的数据共享给云上VPC

如果想在同一区域内借助VPCEP以私有网络的方式访问OBS,只需要把OBS作为服务资源添加到终端节点服务中,然后在VPC内创建与OBS相连的终端节点,就能通过终端节点,在私有网络环境下访问OBS了。

图2 将OBS中存储的数据共享给用户本地数据中心

如果您本地数据中心想要通过私有网络访问存储在华为云OBS中的数据,需要在同一区域内,用云专线或者VPN网关搭建起本地数据中心和VPC之间的桥梁,然后使用VPCEP连接起VPC和OBS,这样本地数据中心就能顺利通过私有网络,访问到OBS中存储的数据了。

工作原理

图3 双端固定工作原理

VPCEP策略和OBS桶策略,分别从请求来源和被访问资源两个角度保障了数据安全性。

设置VPCEP策略可以限制VPC中的服务器(ECS/CCE)可以访问哪些云上资源,如图3所示,终端节点1允许VPC1中的服务器访问桶A,不允许访问桶B,所以VPC1访问桶A成功,访问桶B失败。

设置桶策略可以限定OBS桶被只能被特定VPC中的服务器访问,如图3所示,桶A的桶策略允许来自VPC1的请求,拒绝来自VPC2的请求,所以VPC1访问桶A成功,VPC2访问桶A失败。

VPCEP策略语法说明

VPCEP策略遵循最小权限原则,如果策略没有显式“Allow(允许)”,则默认“Deny(拒绝)”。在购买终端节点时,系统将会为该终端节点生成一个默认策略,该策略允许对OBS的完全访问,您可以在创建终端节点时修改默认策略,还可以在创建完成后,根据需要随时调整策略。针对VPCEP策略,您需要注意:

  • VPC终端节点策略,配置后需等待10分钟才可生效,请耐心等待。
  • VPC终端节点策略与IAM权限存在部分差异:VPC终端节点策略中不含“sid”字段和“Condition”标签。

VPCEP策略由Effect(作用)、Action(授权项)、Resource(资源类型)组成:

表1 表1 VPCEP策略参数说明

参数

Effect:作用

定义Action中的操作权限是否允许执行。

  • Allow:允许。
  • Deny:拒绝。

默认值:Deny。当同一个Action的Effect既有Allow又有Deny时,遵循Deny优先的原则。

Action:授权项

对OBS资源的操作权限。格式为:"服务名:资源类型:操作",支持单个或多个操作权限,支持通配符号*,通配符号表示所有。授权项不区分大小写。

OBS支持bucket和object两种资源类型:

  • 桶相关的授权项格式为:obs:bucket:操作,例如"obs:bucket:ListAllMybuckets"表示查看OBS桶列表权限,其中obs为服务名,bucket为资源类型,ListAllMybuckets为操作。
  • 对象相关的授权项格式为:obs:object:操作。

详细的Action描述请参见桶相关授权项对象相关授权项

Resource: 资源

策略所作用的资源。格式为“obs:*:*:资源类型:资源路径”。

资源类型不区分大小写,支持以下取值:

  • bucket:表示本策略设置的是桶的访问权限
  • object:表示本策略设置的是对象的访问权限
  • “*”:通配符号*,表示同时设置桶和对象的访问权限。

资源路径格式为“桶名”或“桶名/对象名”,支持通配符号*,区分大小写,示例如下:

  • "obs:*:*:bucket:*": 表示所有的OBS桶。
  • "obs:*:*:object:my-bucket/my-object/*": 表示my-bucket桶my-object目录下的所有对象。

典型场景及策略配置示例

本节提供双端固定典型的使用场景和配置示例:

示例一:VPC只能访问指定OBS桶

图4 示例一

场景描述:

VPC1内的服务器只能下载桶A中的对象,不允许访问其他桶。桶A并未设置桶策略,所以其他VPC也可以访问桶A。

配置方法:

配置VPC1的终端节点策略如下:

入口:服务列表 > VPC终端节点 > 单击对应VPC终端节点ID(OBS双端固定的终端节点) > 策略 > 编辑

[
    {
        "Action": [
            "obs:object:GetObject"
        ],
        "Resource": [
            "obs:*:*:object:bucketA/*"
        ],
        "Effect": "Allow"
    }
]

示例二:VPC只能访问指定OBS桶,且只能进行指定操作

场景描述:

VPC1内的服务器只能下载桶A中的对象,不允许访问其他桶。

除了桶A中的名为myobject对象外,允许VPC1内的服务器下载桶A中所有其他对象。

配置方法:

配置VPC1的终端节点策略如下:

入口:服务列表 > VPC终端节点 > 单击对应VPC终端节点ID(OBS双端固定的终端节点) > 策略 > 编辑

[
    {
        "Action": [
            "obs:object:GetObject"
        ],
        "Resource": [
            "obs:*:*:object:bucketA/*"
        ],
        "Effect": "Allow"
    },
    {
        "Action": [
            "obs:object:GetObject"
        ],
        "Resource": [
            "obs:*:*:object:bucketA/myobject"
        ],
        "Effect": "Deny"
    }
]

示例三:VPC只能访问指定OBS桶,OBS桶只能被指定VPC访问

图5 示例三

场景描述:

只允许VPC1内的服务器上传/下载桶A中的对象,并且只允许桶A中的对象被VPC1内的服务器上传/下载。

其中VPC1的ID为:4dad1f75-0361-4aa4-ac75-1ffdda3a0fec。

配置方法:

  1. 配置VPC1的终端节点策略如下:
    入口:服务列表 > VPC终端节点 > 单击对应VPC终端节点ID(OBS双端固定的终端节点) > 策略 > 编辑 
    [
    {
        "Action": [
            "obs:object:GetObject",
	    "obs:object:PutObject"
        ],
        "Resource": [
            "obs:*:*:object:bucketA/*"
        ],
        "Effect": "Allow"
    }
]
  2. 配置桶A的桶策略如下:

    配置方法请参见自定义创建桶策略(JSON视图)

    需要配置两个桶策略:

    • 桶策略1:允许VPC1内的服务器上传/下载桶A中的对象。

      其中statementId可自定义,domainIduserId需要设置为允许上传下载的账号ID和用户ID。相关说明请参见桶策略

      {
    "Statement": [
        {
            "Sid": "statementId",
            "Effect": "Allow",
            "Principal": {
                "ID": ["domain/domainId:user/userId"]
            },
            "Action": ["GetObject", "PutObject"],
            "Resource": ["bucketA/*"],
            "Condition": {
                "StringEquals": {
                    "SourceVpc": ["4dad1f75-0361-4aa4-ac75-1ffdda3a0fec"]
                }
            }
        }
    ]
}
    • 桶策略2:除了VPC1外的其他VPC内的服务器均不能操作桶A及桶中的对象。

      其中DenyReqNotFromVpc可自定义。

      {
    "Statement": [
        {
            "Sid": "DenyReqNotFromVpc",
            "Effect": "Deny",
            "Principal": {
                "ID": ["*"]
            },
            "Action": "*",
            "Resource": ["bucketA", "bucketA/*"],
            "Condition": {
                "StringNotEquals": {
                    "SourceVpc": ["4dad1f75-0361-4aa4-ac75-1ffdda3a0fec"]
                }
            }
        }
    ]
}

      设置上述桶策略后,被授权的IAM用户可以正常通过SDK或API进行上传下载操作。如果希望在控制台或OBS Browser+上进行上传下载,还需要在IAM权限中额外配置obs:bucket:ListAllMyBuckets和obs:bucket:ListBucket权限,否则访问控制台和OBS Browser+时会报错,无法看到桶和桶内对象。

示例四:同时配置VPC终端节点策略与桶策略后,再授权其他云服务访问桶

场景描述:

当同时设置了VPC1的终端节点策略与桶A的桶策略后,由于双端固定的限制,其它云服务包括OBS就无法访问桶A。如果想要授权其它云服务能够访问桶A,可以通过委托授权的方式。

其中VPC1的ID为:4dad1f75-0361-4aa4-ac75-1ffdda3a0fec。

配置方法:

  1. 配置VPC1的终端节点策略如下:

    只允许VPC1内的服务器上传/下载桶A中的对象。

    入口:服务列表 > VPC终端节点 > 单击对应VPC终端节点ID(OBS双端固定的终端节点) > 策略 > 编辑

    [
    {
        "Action": [
            "obs:object:GetObject",
	    "obs:object:PutObject"
        ],
        "Resource": [
            "obs:*:*:object:bucketA/*"
        ],
        "Effect": "Allow"
    }
]

  2. 创建IAM委托,委托其它云服务访问桶A。例如,委托OBS,绑定系统策略OBS FullAccess,也可以创建自定义策略并绑定该委托。
  3. 配置桶A的桶策略如下:

    只允许桶A中的对象被VPC1内的服务器或者委托名为testAgencyName所对应授权的云服务访问桶A中的对象。其中委托名以步骤2中实际创建的IAM委托名称为准。 
    {
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {"ID": ["*"]},
            "Action": ["*"],
            "Resource": ["bucketA/*"],
            "Condition": {
                "StringEquals": {
                    "SourceVpc": ["4dad1f75-0361-4aa4-ac75-1ffdda3a0fec"]
                }
            }
        },
        {
            "Effect": "Allow",
            "Principal": {"ID": ["*"]},
            "Action": ["*"],
            "Resource": ["bucketA/*"],
            "Condition": {
                "StringEquals": {
                    "ServiceAgency": ["testAgencyName"]
                }
            }
        }
    ]
}

    同时,桶策略也可按如下配置达到同样的效果:

    {
    "Statement": [
        {
            "Effect": "Deny",
            "Principal": {"ID": ["*"]},
            "Action": ["*"],
            "Resource": ["bucketA/*"],
            "Condition": {
                "StringNotEquals": {
                    "SourceVpc": ["4dad1f75-0361-4aa4-ac75-1ffdda3a0fec"],
                    "ServiceAgency": ["testAgencyName"]
                }
            }
        }
    ]
}

配置双端固定

本节以VPC中的ECS云服务器访问OBS桶为示例场景,如图6所示,为您介绍双端固定的详细操作步骤。

图6 双端固定配置场景
表2 资源规划

资源

区域

数量

资源名称

资源说明

虚拟私有云VPC

中国-香港

2

example-vpc1

用于承载云服务器example-ecs1,绑定example-vpcep1。

example-vpc2

用于承载云服务器example-ecs2,绑定example-vpcep2。

VPC终端节点 VPCEP

2

example-vpcep1

绑定example-vpc1,对example-vpc1发出的请求做访问控制。允许对example-bucket-a中的对象进行上传下载操作。

example-vpcep2

绑定example-vpc2,对example-vpc2发出的请求做访问控制。允许对example-bucket-a中的对象进行上传下载操作。

弹性云服务器ECS

2

example-ecs1

创建时,虚拟私有云选择example-vpc1,选择Linux操作系统,例如Ubuntu 24.04 server 64bit(10GiB)。

example-ecs2

创建时,虚拟私有云选择example-vpc2,选择Linux操作系统,例如Ubuntu 24.04 server 64bit(10GiB)。

对象存储OBS

1

example-bucket-a

桶策略允许来自example-vpc1访问,拒绝来自example-vpc2访问。

步骤一:在VPC控制台创建VPC

本步骤将创建名为example-vpc1、example-vpc2的两个VPC。

进入VPC控制台创建虚拟私有云页面,根据界面提示配置VPC参数,要求区域选择“中国-香港”,其他选项没有特殊要求,保持默认即可,您也可以根据业务需求自定义,详情可参见创建虚拟私有云和子网

步骤二:在ECS控制台创建Linux ECS云服务器

本步骤将创建名为example-ecs1、example-ecs2的2个ECS云服务器,并将example-ecs1绑定example-vpc1,将example-ecs2绑定example-vpc2。

  1. 进入ECS控制台自定义购买页面。
  2. 根据界面提示配置ECS参数,“区域”选择“中国-香港”。
  3. 选择“操作系统”,此处以选择Linux镜像Ubuntu 24.04 server 64bit(10GiB)为例。
  4. “网络”选择步骤一中创建的VPC,example-ecs1绑定example-vpc1,example-ecs2绑定example-vpc2。

  5. 其他选项没有特殊要求,保持默认即可,您也可以根据业务需求自定义,详情可参见自定义购买ECS
  6. 单击右下角“立即购买”。

步骤三:在OBS控制台创建OBS桶并上传对象

本步骤将创建名为example-bucket-a的对象桶,并向桶中上传名为test.txt的对象。

  1. 创建名为example-bucket-a的对象桶。

    进入OBS控制台创建桶页面,区域选择“中国-香港”,“存储类型”选择“标准存储”,“桶策略”选择“私有”,其他选项保持默认,您也可以根据业务需求自定义,详情可参见创建桶

  2. 上传名为test.txt的对象到example-bucket-a桶中。上传对象详细步骤详见上传对象

步骤四:在OBS控制台配置桶策略

本步骤将为桶配置桶策略,该桶策略仅允许来自于example-vpc1内的服务器下载桶example-bucket-a中的对象,其他VPC内的服务器均不能操作桶example-bucket-a及桶中的对象。

  1. 登录OBS控制台,在左侧导航栏选择“对象存储”
  2. 在桶列表中,单击步骤三中创建的桶example-bucket-a,进入“对象”页面。
  3. 在左侧导航栏,单击“权限控制 > 桶策略”。
  4. 单击“创建”,选择“JSON视图”页签。
  5. 配置第1条桶策略:允许example-vpc1内的服务器下载桶example-bucket-a中的对象。

    表3 桶策略参数说明

    参数名称

    说明

    domainId

    允许下载example-bucket-a桶中对象的账号ID,获取账号ID请参见如何获取账号ID?

    userId

    允许下载example-bucket-a桶中对象的IAM用户ID,获取IAM用户ID请参见如何获取IAM用户ID?

    VPC ID of example-vpc1

    允许下载example-bucket-a桶中对象的VPC ID,此处为example-vpc1的ID,如何获取VPC ID请参见获取虚拟私有云的ID信息

    		 
    {
    "Statement": [
        {
            "Sid": "exampleSidId1",
            "Effect": "Allow",
            "Principal": {
                "ID": ["domain/domainId:user/userId"]
            },
            "Action": ["GetObject"],
            "Resource": ["example-bucket-a/*"],
            "Condition": {
                "StringEquals": {
                    "SourceVpc": ["VPC ID of example-vpc1"]
                }
            }
        }
    ]
}

  6. 单击“创建”,完成第1条桶策略配置。
  7. 单击“创建”,选择“JSON视图”页签,开始第2条桶策略创建。
  8. 配置第2条桶策略:除了example-vpc1外的其他VPC内的服务器均不能操作桶example-bucket-a及桶中的对象。

    VPC ID of example-vpc1为example-vpc1的ID,如何获取VPC ID请参见获取虚拟私有云的ID信息
    {
    "Statement": [
        {
            "Sid": "exampleSidId2",
            "Effect": "Deny",
            "Principal": {
                "ID": ["*"]
            },
            "Action": "*",
            "Resource": ["example-bucket-a", "example-bucket-a/*"],
            "Condition": {
                "StringNotEquals": {
                    "SourceVpc": ["VPC ID of example-vpc1"]
                }
            }
        }
    ]
}

    配置了本条桶策略后,由于Principal为通配符星号(*)且包含Condition,因此会对所有访问者生效,包括桶拥有者如果不是从指定VPC访问,访问请求将被拒绝。如果您不想限制桶拥有者的访问,可以在桶策略中增加一个条件以排除对桶拥有者的限制,示例如下:

    IAM user ID of bucket owner为桶拥有者的IAM用户ID,如何获取IAM用户ID请参见获取IAM用户ID

    {
    "Statement": [
        {
            "Sid": "exampleSidId2",
            "Effect": "Deny",
            "Principal": {
                "ID": ["*"]
            },
            "Action": "*",
            "Resource": ["example-bucket-a", "example-bucket-a/*"],
            "Condition": {
                "StringNotEquals": {
                    "SourceVpc": ["VPC ID of example-vpc1"],
                    "g:UserId": ["IAM user ID of bucket owner"]
                }
            }
        }
    ]
}

  9. 单击“创建”,完成第2条桶策略配置。

步骤五:在VPCEP控制台创建终端节点并配置VPCEP策略

本步骤将创建名为example-vpcep1、example-vpcep2的两个VPC终端节点,并将example-vpcep1绑定example-vpc1,将example-vpcep2绑定example-vpc2。

  1. 进入VPCEP控制台终端节点列表页
  2. 单击右上角“购买终端节点”,进入购买页。
  3. 选择终端节点区域。要求与VPC、OBS桶所在区域保持一致。
  4. 选择计费模式为“按需计费”
  5. 选择服务。选择“按名称查找服务”
  6. 获取服务名称并验证。

    提交工单获取服务名称,提交工单时同步提供OBS桶名给技术支持人员。将从工单中获得的服务名称填写到“服务名称”中,单击“验证”

  7. 设置虚拟私有云。

    “虚拟私有云”选择步骤一中创建的VPC。example-vpcep1选择example-vpc1,example-vpcep2选择example-vpc2。路由表和子网保持默认设置。

  8. 设置终端节点策略。

    启用“策略”开关,策略编辑页面填写终端节点策略。以下方策略为例,允许example-vpc1中的ECS可以向example-bucket-a桶中上传和下载对象,example-vpcep1和example-vpcep2都填写以下示例中的策略。 
    [
    {
        "Action": [
            "obs:object:GetObject",
	    "obs:object:PutObject"
        ],
        "Resource": [
            "obs:*:*:object:example-bucket-a/*"
        ],
        "Effect": "Allow"
    }
]

  9. 单击右下角的“立即购买”
  10. 确认终端节点配置,单击“提交”。

步骤六:使用VPC中的ECS云服务器访问OBS

登录example-ecs1云服务,下载example-bucket-a中的对象。因为example-vpcep1允许访问桶example-bucket-a,并且桶策略允许来自example-vpc1的访问,所以预期操作结果是下载对象成功。

  1. 登录example-ecs1云服务器。

    本例通过CloudShell登录Linux ECS,如果您想使用其他登录方式请参考Linux ECS登录方式概述

  2. 在ECS云服务器中下载并安装obsutil,详细操作参见下载和安装obsutil
  3. 初始化obsutil。

    使用第1条桶策略中允许访问桶example-bucket-a的账号,初始化obsutil,详细操作参见obsutil初始化配置。如何获取访问密钥AK/SK详见获取AK/SK

  4. 下载对象。执行如下命令,下载example-bucket-a中的test.txt文档到本地: 

    ./obsutil cp obs://example-bucket-a/test.txt  test.txt

    展示如下回显,说明下载成功,example-ecs1可以正常访问example-bucket-a。

登录example-ecs2云服务,下载example-bucket-a中的对象。因为example-bucket-a的桶策略拒绝了来自example-vpc2的访问,所以预期操作结果是下载对象的请求被拒绝,下载失败。

  1. 登录example-ecs2云服务器。

    本例通过CloudShell登录Linux ECS,如果您想使用其他登录方式请参考Linux ECS登录方式概述

  2. 在ECS云服务器中下载并安装obsutil,详细操作参见下载和安装obsutil
  3. 初始化obsutil。

    使用第1条桶策略中允许访问桶example-bucket-a的账号,初始化obsutil,详细操作参见obsutil初始化配置

  4. 下载对象。执行如下命令,下载example-bucket-a中的test.txt文档到本地: 

    ./obsutil cp obs://example-bucket-a/test.txt  test.txt

    展示如下回显,说明下载失败,来自example-ecs2 的下载请求被拒绝,操作结果符合预期。

相关操作

使用双端固定的过程中,您可能还会涉及到以下操作:

更新已有终端节点的策略

  1. 进入VPCEP控制台终端节点列表页
  2. 单击要更新策略的终端节点,进入终端节点详情页。
  3. 选择“策略”页签。
  4. 单击“编辑”
  5. 配置VPCEP策略,策略语法参见VPCEP策略语法说明
  6. 单击“确认”

相关文档

父主题: 数据安全