设置桶级阻止公共访问配置(C SDK)
开发过程中,您有任何问题可以在GitHub上提交issue,或者在华为云对象存储服务论坛中发帖求助。
功能介绍
公共访问是指请求者无需拥有特定权限或身份验证即可访问桶和桶内数据,此操作存在数据泄露和恶意访问导致大量外网流量的风险。OBS支持为桶配置阻止公共访问功能,可通过本接口设置桶级BPA,从而确保桶内数据的安全性。
如果开启阻止公开访问,则已有的公开访问权限会被忽略,并且不允许配置新的公开访问权限。如果关闭阻止公开访问,则已有的公开访问权限仍然生效,并且支持配置新的公开访问权限。
接口约束
- 您必须是桶拥有者或拥有设置桶级阻止公共访问配置的权限,才能调用本接口。建议使用IAM或桶策略进行授权,如果使用IAM则需授予obs:bucket:PutBucketPublicAccessBlock权限,如果使用桶策略则需授予PutBucketPublicAccessBlock权限。相关授权方式介绍可参见OBS权限控制概述,配置方式详见使用IAM自定义策略、自定义创建桶策略。
- OBS支持的Region与Endpoint的对应关系,详细信息请参见地区与终端节点。
- 您只能为存储桶启用阻止公共访问权限设置,不支持基于账号和指定对象的阻止公共访问权限设置。
- 为确保功能正常使用,所有桶策略规则大小总计不超过20KB,所有ACL和桶策略规则大小总计不超过32KB。如果超过限定大小,则设置桶策略或桶ACL、查询桶的公共状态、开启阻止公共访问开关等请求可能会被拒绝,返回错误码400,报错“Bucket policy and bucket acl is too large/complicated to perform block public access analysis”。
- 镜像回源场景暂不支持设置阻止公共访问。
- 在跨区域复制场景下,如果目标桶禁止配置公共ACL(开启了BlockPublicAcls),那么源桶中配置了ACL公共语义的对象,会因为和目标桶的访问策略冲突而导致复制失败。
方法定义
void put_bucket_public_access_block(const obs_options *options,
const obs_bucket_public_access_block *public_access_block,
obs_response_handler *handler, void *callback_data); 请求参数说明
| 参数名称 | 参数类型 | 是否必选 | 描述 |
|---|---|---|---|
| options | const obs_options* | 必选 | 参数解释: 请求桶的上下文,配置option(C SDK),通过obs_options设置AK、SK、endpoint、bucket、超时时间、临时鉴权。 约束限制: 无 取值范围: 无 默认取值: 无 |
| public_access_block | const obs_bucket_public_access_block * | 必选 | 参数解释: 桶级阻止公共访问配置结构体。 约束限制: 无 取值范围: 无 默认取值: 无 |
| handler | obs_response_handler * | 必选 | 参数解释: 回调结构体,结构体内所有成员都是回调函数的指针,用于设置处理接口响应数据的回调函数。 约束限制: 无 取值范围: 无 默认取值: 无 |
| callback_data | void * | 可选 | 参数解释: 用户自定义回调数据。 约束限制: 无 取值范围: 无 默认取值: 无 |
| 参数名称 | 参数类型 | 是否必选 | 描述 |
|---|---|---|---|
| block_public_acls | bool | 必选 | 参数解释: 是否锁定公共ACL。当为true时,禁止对象上传和ACL修改API设置公共ACL。 约束限制: 无 取值范围:
默认取值: false |
| ignore_public_acls | bool | 必选 | 参数解释: 是否忽略公共ACL。当为true时,OBS进行权限检查时公共ACL不生效。 约束限制: 无 取值范围:
默认取值: false |
| block_public_policy | bool | 必选 | 参数解释: 是否锁定公共策略。当为true时,桶策略修改API禁止设置公共策略。 约束限制: 无 取值范围:
默认取值: false |
| restrict_public_buckets | bool | 必选 | 参数解释: 是否限制账号访问。当为true时,如果桶策略状态为公开,则只允许云服务账号和本账号访问。 约束限制: 无 取值范围:
默认取值: false |
代码示例
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 | #include "eSDKOBS.h" #include <stdio.h> obs_status response_properties_callback(const obs_response_properties *properties, void *callback_data); void response_complete_callback(obs_status status, const obs_error_details *error, void *callback_data); int main() { obs_initialize(OBS_INIT_ALL); obs_options options; init_obs_options(&options); // host_name填写桶所在的endpoint, 此处以华北-北京四为例,其他地区请按实际情况填写。 options.bucket_options.host_name = "obs.cn-north-4.myhuaweicloud.com"; // 认证用的ak和sk硬编码到代码中或者明文存储都有很大的安全风险,建议在配置文件或者环境变量中密文存放,使用时解密,确保安全; // 本示例以ak和sk保存在环境变量中为例,运行本示例前请先在本地环境中设置环境变量ACCESS_KEY_ID和SECRET_ACCESS_KEY。 options.bucket_options.access_key = getenv("ACCESS_KEY_ID"); options.bucket_options.secret_access_key = getenv("SECRET_ACCESS_KEY"); options.bucket_options.bucket_name = "example-bucket-name"; // 设置阻止公共访问配置,启用所有保护开关 obs_bucket_public_access_block bpa_config = {0}; bpa_config.block_public_acls = true; bpa_config.ignore_public_acls = true; bpa_config.block_public_policy = true; bpa_config.restrict_public_buckets = true; obs_response_handler response_handler = {&response_properties_callback, &response_complete_callback}; obs_status ret_status = OBS_STATUS_BUTT; put_bucket_public_access_block(&options, &bpa_config, &response_handler, &ret_status); if (OBS_STATUS_OK == ret_status) { printf("put bucket public access block successfully.\n"); } else { printf("put bucket public access block failed(%s).\n", obs_get_status_name(ret_status)); } obs_deinitialize(); } obs_status response_properties_callback(const obs_response_properties *properties, void *callback_data) { (void)properties; (void)callback_data; return OBS_STATUS_OK; } void response_complete_callback(obs_status status, const obs_error_details *error, void *callback_data) { if (callback_data) { *(obs_status*)callback_data = status; } if (error && error->message) { printf("Error: %s\n", error->message); } } |