存儲(chǔ)云服務(wù)03對(duì)象存儲(chǔ)服務(wù)OBSvOBS功能特性

存儲(chǔ)云服務(wù)–對(duì)象存儲(chǔ)3.OBS功能特性目錄12354OBS簡(jiǎn)介OBS基礎(chǔ)知識(shí)OBS功能特性O(shè)BS使用管理常見問題和故障參考資料和常用網(wǎng)站6OBS關(guān)鍵功能訪問控制靜態(tài)網(wǎng)站托管生命周期管理多版本控制事件通知服務(wù)端加密訪問控制（1/3）OBS支持通過ACL、桶策略、用戶簽名驗(yàn)證的方式對(duì)用戶的OBS請(qǐng)求進(jìn)行訪問控制。OBS提供基于帳戶的訪問控制列表ACL（AccessControlList），通過ACL可以授予指定帳戶的訪問權(quán)限。OBS支持的被授權(quán)用戶有：桶的所有者、注冊(cè)用戶組、匿名用戶、日志投遞用戶組、特定用戶。針對(duì)桶和對(duì)象，OBS當(dāng)前支持五種訪問權(quán)限：讀取權(quán)限、寫入權(quán)限、查看ACL權(quán)限、修改ACL權(quán)限、完全控制。當(dāng)用戶新創(chuàng)建一個(gè)桶時(shí)，如果不指定相應(yīng)的ACL權(quán)限，OBS自動(dòng)將該桶設(shè)置為僅允許桶的所有者訪問，其他任何人無法訪問該桶及桶內(nèi)的對(duì)象。訪問控制（2/3）桶的所有者可以通過編寫桶策略（BucketPolicy），限定桶的訪問權(quán)限。桶策略是由桶的所有者指定的桶訪問許可。設(shè)置桶策略后，后續(xù)對(duì)該桶的訪問請(qǐng)求都將受到桶策略的限制，這種限制表現(xiàn)為接受或拒絕請(qǐng)求。桶策略采用JSON編寫，向OBS帳戶授予權(quán)限。下面的示例，允許帳戶（DomainID為783fc6652cf246c096ea836694f71855）獲取桶l(fā)ogging.bucket3的日志管理信息。其中783fc6652cf246c096ea836694f71855表示域ID，需根據(jù)實(shí)際需要修改。域ID可通過點(diǎn)擊OBSConsole頁面右上角用戶名，選擇我的認(rèn)證，進(jìn)入我的認(rèn)證頁面查詢。GetBucketLogging：Action字段的參數(shù)值，表示此Policy的操作，Action字段為OBS支持的所有操作集合，以字符串形式表示，不區(qū)分大小寫。支持通配符“*”，表示該資源能進(jìn)行的所有操作。例如："Action":["s3:List*","s3:Get*"]。此處需要根據(jù)用戶實(shí)際需要修改。OBS支持的所有Action，可通過《對(duì)象存儲(chǔ)服務(wù)API參考》中的“BucketPolicy”章節(jié)查看。Allow：Effect字段的參數(shù)值，指定此Policy是允許還是拒絕，Effect的值必須為Allow或者Deny。logging.bucket3：此Policy作用的目標(biāo)桶，需根據(jù)用戶需要設(shè)置的實(shí)際桶名修改。{"Id":"Policy1375342051334","Statement":[{"Sid":"Stmt1375240018061","Action":["s3:GetBucketLogging"],"Effect":"Allow","Resource":"arn:aws:s3:::logging.bucket3","Principal":{"AWS":["arn:aws:iam::783fc6652cf246c096ea836694f71855:root"]}}]}訪問控制（3/3）OBS通過用戶帳戶中的AK和SK進(jìn)行簽名驗(yàn)證，確保通過授權(quán)的帳戶才能訪問指定的OBS資源。帳戶訪問OBS時(shí)必須提供一對(duì)訪問密鑰，即AK和SK。AK和SK支持IAM的認(rèn)證機(jī)制。通過不同的訪問密鑰提供給客戶端或API、SDK等方式使用OBS。AK：AccessKeyID，接入鍵標(biāo)識(shí)，用戶在對(duì)象存儲(chǔ)服務(wù)系統(tǒng)中的接入鍵標(biāo)識(shí)，一個(gè)接入鍵標(biāo)識(shí)唯一對(duì)應(yīng)一個(gè)用戶，一個(gè)用戶可以同時(shí)擁有多個(gè)接入鍵標(biāo)識(shí)。對(duì)象存儲(chǔ)服務(wù)系統(tǒng)通過接入鍵標(biāo)識(shí)識(shí)別訪問系統(tǒng)的用戶。SK：SecretAccessKey，安全接入鍵，用戶在對(duì)象存儲(chǔ)服務(wù)系統(tǒng)中的安全接入鍵，是用戶訪問對(duì)象存儲(chǔ)服務(wù)系統(tǒng)的密鑰，用戶根據(jù)安全接入鍵和請(qǐng)求頭域生成鑒權(quán)信息。安全接入鍵和接入鍵標(biāo)識(shí)一一對(duì)應(yīng)。靜態(tài)網(wǎng)站托管OBS支持靜態(tài)網(wǎng)站托管，您可以把自己存儲(chǔ)在OBS上的桶配置成靜態(tài)網(wǎng)站托管模式。您可以將靜態(tài)網(wǎng)站文件上傳至OBS的桶中，并對(duì)這些文件賦予匿名用戶可讀權(quán)限，然后將該桶配置成靜態(tài)網(wǎng)站托管模式，就可以實(shí)現(xiàn)在OBS上托管靜態(tài)網(wǎng)站了。生命周期管理生命周期管理是指通過配置指定的規(guī)則，實(shí)現(xiàn)定時(shí)刪除桶中的對(duì)象。生命周期管理規(guī)則通常包含兩個(gè)關(guān)鍵要素：配置策略：即您可以指定對(duì)象名前綴來匹配受約束的對(duì)象，則匹配該前綴的對(duì)象將受規(guī)則影響；也可以指定將生命周期管理規(guī)則配置到整個(gè)桶，則桶內(nèi)所有對(duì)象都將受規(guī)則影響。過期時(shí)間：即您可以指定在對(duì)象最后一次更新后多少天，或指定具體某一天后，受規(guī)則影響的對(duì)象將過期并自動(dòng)被OBS刪除。OBS支持通過指定規(guī)則實(shí)現(xiàn)定時(shí)刪除桶中的對(duì)象，即生命周期管理。生命周期管理可適用于以下典型場(chǎng)景：周期性上傳的日志文件，可能只需要保留一個(gè)星期或一個(gè)月。到期后要?jiǎng)h除它們。某些文檔在一段時(shí)間內(nèi)經(jīng)常訪問，但是超過一定時(shí)間后就可能不會(huì)再訪問了。這些文檔需要在一定時(shí)間后刪除。對(duì)于上述場(chǎng)景中的對(duì)象，您可以定義用于識(shí)別這些對(duì)象的生命周期管理規(guī)則，通過這些規(guī)則實(shí)現(xiàn)對(duì)象的生命周期管理。自動(dòng)刪除無用的文件后，由于您使用的OBS存儲(chǔ)空間減少，這將一定程度上減少您的租賃費(fèi)用。多版本控制OBS支持保存一個(gè)對(duì)象的多個(gè)版本，使您更方便地檢索和還原各個(gè)版本，在意外操作或應(yīng)用程序故障時(shí)快速恢復(fù)數(shù)據(jù)。多版本控制為用戶意外覆蓋或刪除對(duì)象場(chǎng)景提供了一種恢復(fù)手段。默認(rèn)情況下，OBS中新創(chuàng)建的桶不會(huì)開啟多版本功能，向同一個(gè)桶上傳同名的對(duì)象時(shí)，新上傳的對(duì)象將覆蓋原有的對(duì)象。當(dāng)不需要對(duì)桶內(nèi)對(duì)象進(jìn)行版本控制時(shí)，可以暫停多版本控制。OBS支持保存一個(gè)對(duì)象的多個(gè)版本，使您更方便地檢索和還原各個(gè)版本，在意外操作或應(yīng)用程序故障時(shí)快速恢復(fù)數(shù)據(jù)。多版本控制為用戶意外覆蓋或刪除對(duì)象場(chǎng)景提供了一種恢復(fù)手段。默認(rèn)情況下，OBS中新創(chuàng)建的桶不會(huì)開啟多版本功能，向同一個(gè)桶上傳同名的對(duì)象時(shí)，新上傳的對(duì)象將覆蓋原有的對(duì)象。開啟多版本控制后：上傳對(duì)象時(shí)，OBS自動(dòng)為每個(gè)對(duì)象創(chuàng)建唯一的版本號(hào)。上傳同名的對(duì)象將以不同的版本號(hào)同時(shí)保存在OBS中。可以指定版本號(hào)下載對(duì)象，不指定版本號(hào)默認(rèn)下載最新的對(duì)象。如果需要徹底刪除對(duì)象，必須指定版本號(hào)進(jìn)行刪除；不帶版本號(hào)刪除對(duì)象，OBS將僅產(chǎn)生一個(gè)帶唯一版本號(hào)的刪除標(biāo)記，而并不實(shí)際刪除該對(duì)象，當(dāng)有訪問該對(duì)象的請(qǐng)求時(shí)，則提示對(duì)象不存在。列出桶內(nèi)對(duì)象列表時(shí)默認(rèn)列出最新對(duì)象列表，也可以指定列出桶內(nèi)所有版本對(duì)象列表。除刪除標(biāo)記外，每個(gè)版本的對(duì)象存儲(chǔ)在OBS中均需要進(jìn)行計(jì)費(fèi)。當(dāng)不需要對(duì)桶內(nèi)對(duì)象進(jìn)行版本控制時(shí)，可以暫停多版本控制：舊的版本數(shù)據(jù)將繼續(xù)保留在OBS中，您需要手動(dòng)刪除不再需要的舊版本數(shù)據(jù)。仍可以指定版本號(hào)下載對(duì)象，不指定版本號(hào)默認(rèn)下載最新的對(duì)象。除刪除標(biāo)記外，舊版本的對(duì)象存儲(chǔ)在OBS中仍需要進(jìn)行計(jì)費(fèi)。當(dāng)前OBS客戶端尚不支持多版本控制，如需使用該功能，請(qǐng)通過OBS管理控制臺(tái)、API或SDK的方式管理OBS數(shù)據(jù)。事件通知您可以通過事件通知發(fā)送警報(bào)或觸發(fā)工作流，并通過消息通知服務(wù)（SMN：SimpleMessageNotification）發(fā)送通知。目前，OBSConsole支持發(fā)布以下事件：使用Put方法上傳對(duì)象。使用Post方法上傳對(duì)象。使用APIs等工具復(fù)制對(duì)象。分段上傳對(duì)象。指定對(duì)象版本號(hào)刪除對(duì)象。不指定對(duì)象版本號(hào)刪除對(duì)象。您可以將通知配置為按對(duì)象名稱的前綴和后綴進(jìn)行篩選。例如，您可以添加一個(gè)事件，以便僅在將帶有“.jpg”后綴的圖像文件添加到存儲(chǔ)桶時(shí)收到通知?；蛘?，您也可以添加一個(gè)事件，該配置僅在將帶有前綴為“images/”的對(duì)象添加到存儲(chǔ)桶時(shí)收到通知。服務(wù)端加密用戶可根據(jù)需要對(duì)對(duì)象進(jìn)行服務(wù)端加密，使對(duì)象更安全的存儲(chǔ)在OBS中。密鑰管理服務(wù)（KMS）通過使用第三方硬件安全模塊(HSM)保護(hù)密鑰安全的托管，幫助用戶輕松創(chuàng)建和控制加密密鑰。用戶密鑰不會(huì)明文出現(xiàn)在HSM之外，避免密鑰泄露。對(duì)密鑰的所有操作都會(huì)進(jìn)行訪問控制及日志跟蹤，提供所有密鑰的使用記錄，滿足監(jiān)督和合規(guī)性要求。需要上傳的對(duì)象可以通過密鑰管理服務(wù)器提供密鑰的方式進(jìn)行服務(wù)端加密。用戶首先需要在KMS中創(chuàng)建密鑰（或者使用KMS提供的默認(rèn)密鑰），當(dāng)用戶在OBS中上傳對(duì)象時(shí)使用該密鑰進(jìn)行服務(wù)端加密。當(dāng)啟用服務(wù)端加密功能后，用戶上傳對(duì)象時(shí)，數(shù)據(jù)會(huì)在服務(wù)端加密成密文后存儲(chǔ)。用戶下載加密對(duì)象時(shí)，存儲(chǔ)的密文會(huì)先在服務(wù)端解密為明文，再提供給用戶。OBS支持通過接口提供KMS托管密鑰的服務(wù)端加密(SSE-KMS)和客戶提供加密密鑰的服務(wù)端加密（SSE-C）兩種方式，SSE-C方式是指OBS使用用戶提供的密鑰和密鑰的MD5值進(jìn)行服務(wù)端加密。用戶可根據(jù)需要對(duì)對(duì)象進(jìn)行服務(wù)端加密，使對(duì)象更安全的存儲(chǔ)在OBS中。密鑰管理服務(wù)（KMS）通過使用硬件安全模塊(HSM)保護(hù)密鑰安全的托管，幫助用戶輕松創(chuàng)建和控制加密密鑰。用戶密鑰不會(huì)明文出現(xiàn)在HSM之外，避免密鑰泄露。對(duì)密鑰的所有操作都會(huì)進(jìn)行訪問控制及日志跟蹤，提供所有密鑰的使用記錄，滿足監(jiān)督和合規(guī)性要求。OBSConsole和OBSBroswer目前支持KMS托管密鑰的服務(wù)端加密(SSE-KMS)方式，SSE-KMS方式是指OBS使用KMS提供的密鑰進(jìn)行服務(wù)端加密。需要上傳的對(duì)象可以通過密鑰管理服務(wù)器提供密鑰的方式進(jìn)行服務(wù)端加密。用戶首先需要在KMS中創(chuàng)建密鑰（或者使用KMS提供的默認(rèn)密鑰），當(dāng)用戶在OBS中上傳對(duì)象時(shí)使用該密鑰進(jìn)行服務(wù)端加密。當(dāng)啟用服務(wù)端加密功能后，用戶上傳對(duì)象時(shí)，數(shù)據(jù)會(huì)在服務(wù)端加密成密文后存儲(chǔ)。用戶下載加密對(duì)象時(shí)，存儲(chǔ)的密文會(huì)先在服務(wù)端解密為明文，再提供給用戶。OBS支持通過接口提供KMS托管密鑰的服務(wù)端加密(SSE-KMS)和客戶提供加密密鑰的服務(wù)端加密（SSE-C）兩種方式，SSE-C方式是指OBS使用用戶提供的密鑰和密鑰的MD5值進(jìn)行服務(wù)端加密。防盜鏈一些不良網(wǎng)站為了不增加成本而擴(kuò)充自己站點(diǎn)內(nèi)容，經(jīng)常盜用其他網(wǎng)站的鏈接。一方面損害了原網(wǎng)站的合法利益，另一方面又加重了服務(wù)器的負(fù)擔(dān)。因此，產(chǎn)生了防盜鏈技術(shù)。在HTTP協(xié)議中，通過表頭字段refer，網(wǎng)站可以檢測(cè)目標(biāo)網(wǎng)頁訪問的來源網(wǎng)頁。有了refer跟蹤來源，就可以通過技術(shù)手段來進(jìn)行處理，一旦檢測(cè)到來源不是本站即進(jìn)行阻止或者返回指定的頁面。防盜鏈就是通過設(shè)置Refer，去檢測(cè)請(qǐng)求來源的refer字段信息是否與白名單或黑名單匹配，若與白名單匹配成功則允許請(qǐng)求訪問，否則阻止請(qǐng)求訪問或返回