概念和术语

最近更新时间:2019-09-19 18:21:04

概念和术语

AccessKey(访问密钥)、SecretKey

使用KS3,您需要KS3颁发给您的AccessKey(长度为20个字符的ASCII字符串)和SecretKey(长度为40个字符的ASCII字符串)。AccessKey用于标识客户的身份,SecretKey作为私钥形式存放于客户服务器不在网络中传递。SecretKey通常用作计算请求签名的密钥,用以保证该请求是来自指定的客户。使用AccessKey进行身份识别,加上SecretKey进行数字签名,即可完成应用接入与认证授权。

Region(地区)

Region 表示 KS3 的数据中心所在物理位置。用户可以根据费用、请求来源等选择合适的地区创建 Bucket。一般来说,距离用户更近的 Region 访问速度更快。

Region 是在创建 Bucket 的时候指定的,一旦指定之后就不允许更改。该 Bucket 下所有的 Object 都存储在对应的数据中心,目前不支持 Object 级别的 Region 设置。

Endpoint(访问域名)

Endpoint 表示 KS3 对外服务的访问域名。KS3 以 HTTP RESTful API 的形式对外提供服务,当访问不同的 Region 的时候,需要不同的域名。通过内网和外网访问同一个 Region 所需要的 Endpoint 也是不同的。例如北京 Region 的外网 Endpoint 是 ks3-cn-beijing.ksyun.com,内网 Endpoint 是 ks3-cn-beijing-internal.ksyun.com。具体内容请参见 Endpoint与Region的对应关系

Service(服务)

KS3提供给用户的虚拟存储空间,在这个虚拟空间中,每个用户可拥有一个到多个Bucket。

Bucket(存储空间)

Bucket是存放Object的容器,所有的Object都必须存放在特定的Bucket中。每个用户最多可以创建50个Bucket,每个Bucket中可以存放无限多个Object。Bucket不能嵌套,每个Bucket中只能存放Object,不能再存放Bucket,Bucket下的Object是一个平级的结构。Bucket的名称全局唯一且命名规则与DNS命名规则相同:

  • 仅包含小写英文字母(a-z),数字,点(.),中线,即: abcdefghijklmnopqrstuvwxyz0123456789.-
  • 必须由字母或数字开头
  • 长度在3和63个字符之间
  • 不能是IP的形式,类似192.168.0.1
  • 不能以kss开头

Object(对象,文件)

在KS3中,用户操作的基本数据单元是Object。单个Object允许存储0~50TB的数据。 Object 包含key和data。其中,key是Object的名字;data是Object 的数据。key为UTF-8编码,且编码后的长度不得超过1024个字节。

Key(文件名)

即Object的名字,key为UTF-8编码,且编码后的长度不得超过1024个字节。Key中可以带有斜杠,当Key中带有斜杠的时候,将会自动在控制台里组织成目录结构。

ACL(访问控制列表)

KS3使用ACL(访问控制列表)方便用户管理Bucket和Object的访问权限,每个一个Bucket和Object都拥有一个ACL,ACL定义了哪些用户被授予访问权限以及访问的类型,KS3收到针对某个资源的请求后,将检查相应的ACL以验证请求者是否拥有所需的访问权限。

下表列出了KS3在ACL中支持的权限集。注意,对于对象ACL和存储桶ACL,ACL权限集相同。但根据上下文(存储桶ACL或对象ACL),这些ACL权限授予对存储桶或对象操作的特定权限。下表列出了许可并介绍了它们在Bucket和Object许可语境中的含义。

ACL权限 对Bucket(存储桶)授权 对Object(对象)授权
READ 允许被授权者列出存储桶中的对象 允许被授权者读取对象数据及其元数据
WRITE 允许被授权者创建、覆盖和删除存储桶中的任意对象 不适用
FULL_CONTROL 授予被授权者在存储桶上的READ、WRITE 权限 授予被授权者在对象上的READ权限

从上图得知,ACL仅允许授予有限数量的权限。其中的每个权限允许一个或多个 KS3 操作。下表显示每个ACL权限如何映射到相应的访问策略权限。ACL 主要用于授予基本读/写权限,这与文件系统权限类似。

ACL权限 在Bucket(存储桶)授予ACL权限时的相应访问策略 在Objetc(文件对象)授予ACL权限时的相应访问策略
READ List Bucket,List Multipart Upload Get Object,Head Object, List Parts
WRITE Put Object, Post Object, Put Object Copy, Upload Part Copy,Delete Object,Initiate Multipart Upload, Upload Part, Complete Multipart Upload, Abort Multipart Upload,Restore Object 不适用
FULL_CONTROL 等同于授予READ和WRITE ACL权限 等同于授予READ ACL权限。

预设ACL

KS3支持一系列预定义的授权,称为预设ACL。每个预设ACL都有一组预定义的被授权者和权限。下表列出了一系列预设ACL和相关联的预定义授权。

预设ACL 适用于 预设ACL的权限
private Bucket和Object 所有者将获得 FULL_CONTROL。其他人没有访问权限(默认)。
public-read Bucket和Object 所有者将获得 FULL_CONTROL。其他人(包括匿名用户)将获得 READ 访问权限。
public-read-write Bucket和Object 所有者将获得 FULL_CONTROL。其他人(包括匿名用户)将获得 READ 和 WRITE 访问权限。通常不建议在存储桶上授予该权限。

Logging(日志)

对Bucket和Object的日志配置。 当给Bucket配置Logging之后,每天将会自动把该Bucket的操作日志上传到指定的Bucket。

金山云,开启您的云计算之旅

注册有礼