身份认证与访问控制
身份认证
用户访问OBS的方式有多种,包括OBS控制台、OBS客户端(OBS Browser+)、OBS命令行工具(obsutil)、API、SDK,无论访问方式封装成何种形式,其本质都是通过OBS提供的REST风格的API接口进行请求。
OBS的接口既支持认证请求,也支持匿名请求。匿名请求通常仅用于需要公开访问的场景,例如静态网站托管。除此之外,绝大多数场景是需要经过认证的请求才可以访问成功。经过认证的请求总是需要包含一个签名值,该签名值以请求者的访问密钥(AK/SK)作为加密因子,结合请求体携带的特定信息计算而成。通过访问密钥(AK/SK)认证方式进行认证鉴权,即使用Access Key ID(AK)/Secret Access Key(SK)加密的方法来验证某个请求发送者身份。关于访问密钥的详细介绍及获取方式,请参见访问密钥(AK/SK)。
OBS支持如下请求方式:
访问控制
OBS支持通过权限控制(IAM权限、桶策略、ACL)、防盗链和跨域资源共享(CORS)进行访问控制。
访问控制方式 |
简要说明 |
详细介绍 |
|
|---|---|---|---|
IAM权限 |
IAM权限是作用于云资源的,IAM权限定义了允许和拒绝的访问操作,以此实现云资源权限访问控制。管理员创建IAM用户后,需要将用户加入到一个用户组中,IAM可以对这个组授予OBS所需的权限,组内用户自动继承用户组的所有权限。 |
||
桶策略 |
桶策略是作用于所配置的OBS桶及桶内对象的。桶拥有者通过桶策略可为IAM用户或其他账号授权桶及桶内对象精确的操作权限,是对桶ACL和对象ACL的补充(更多场景下是替代)。 |
||
ACL |
访问控制列表(Access Control List,ACL)是一个指定被授权者和所授予权限的授权列表。OBS桶和对象的ACL是基于账号或用户组的访问控制,默认情况下,创建桶和对象时会同步创建ACL,系统会授予拥有者桶和对象资源的完全控制权限。桶或对象的拥有者可以通过ACL向指定账号或用户组授予桶或对象基本的读、写权限。 |
||
防盗链 |
为了防止用户在OBS的数据被其他人盗链,OBS支持基于HTTP Header中表头字段Referer的防盗链方法,同时支持访问白名单和访问黑名单的设置。 |
||
跨域资源共享(CORS) |
OBS支持在桶上配置跨域规则,允许或禁止某些网站的跨域请求。 |
||
