权限管理

最近更新时间:2019-08-13 16:07:36

1. 如何获取AccessKeyId 和AccessKeySecret?

2. KS3对象存储的AK/SK和金山云的AK/SK有什么区别?

3. Bucket和Object的访问控制权限(ACL)类型有哪些?

4. 存储空间(Bucket)有公开读权限,匿名用户可以访问该存储空间(Bucket)下的文件(Object)吗?

5. 能否可以对Bucket或Object修改访问权限?

6. 为什么有时候在控制台修改某个文件夹的访问权限,会非常慢?

7. 能为指定账户赋予某个Bucket或Object的权限吗?

8. KS3对象存储是否可以限制IP或者域名访问?


1. 如何获取AccessKeyId 和AccessKeySecret?

KS3的AK/SK密钥管理在2017年4月27日之前在【对象存储】--【账号设置】下,在【账号设置】页面里可以看到AK/SK。2017年4月27日将迁移到金山云统一的身份与访问控制管理系统中,若KS3用户有旧的KS3秘钥,可以点击左侧菜单【身份与管理】--【身份与权限管理】,在【主账户信息】下的【对象存储访问秘钥】标签下查看。

2. KS3对象存储的AK/SK和金山云的AK/SK有什么区别?

KS3的AK/SK独立于金山云其他产品,KS3提供的AK/SK仅限于访问KS3,不能用于访问金山云其他产品。2017年4月24日之后,KS3用户可以继续使用之前创建的KS3密钥,但仅支持禁用、删除操作,不支持禁用后的重新启用操作和创建操作。建议客户前往身份与访问控制管理系统创建AK/SK ,可以访问包括KS3在内的所有金山云服务。

3. Bucket和Object的访问控制权限(ACL)类型有哪些?

Bucket目前有以下三种访问权限:public-read-write,public-read和private,它们的含义如下:

  • public-read-write:任何人(包括匿名访问)都可以对该Bucket中的Object进行List、Put和Delete操作。
  • public-read:任何人(包括匿名访问)只能对该Bucket中的Object进行List操作,而不能进行Put和Delete操作。注意,对Bucket有读操作不表示对Object有读操作。
  • private:只有该Bucket的创建者拥有所有权限。其他人没有访问权限。

Object目前有以下两种访问权限:public-read和private,它们的含义如下:

  • public-read:任何人(包括匿名访问)都可以对该Object进行读操作(即下载)
  • private:只有Object的拥有者可以对该Object进行操作。

参见API接口文档

4.存储空间(Bucket)有公开读权限,匿名用户可以访问该存储空间(Bucket)下的文件(Object)吗?

对Bucket有读操作权限并不表示对Object有读操作权限,Bucket的读操作权限只包含对Bucket下的Object有List权限,如果想让匿名用户可以访问某一个Object,还需要将此Object的权限设置为“公开”。

5. 能否可以对bucket或object修改访问权限?

KS3为Bucket提供了三种访问权限,分别是private(私密)、public-read(公开读)和public-read-write(公开读写);为Object提供了两种访问权限:public-read(公开读)和private(私密)。 有三种方式可以修Bucket和Object访问权限:通过API、通过SDK、通过控制台。

  • API方式: PUT Bucket acl(文档)和PUT Object acl(文档)接口为指定的账户赋予某个bucket和object的访问权限。
  • SDK方式:支持多种语言:JavaPHPPythonAndroidIOSJavaScriptNode.jsC#C/C++
  • 控制台:
    1. 修改Bucket权限:登录控制台,选择要修改权限的Bucket,点击“空间设置”,在“权限”标签页下,选择“空间权限”,点击确认,修改成功。
    2. 修改Object(文件或文件夹)权限:登录控制台,鼠标停留到要修改权限的Object(文件或文件夹),要修改权限的Object所在的行变灰色,同时“编辑”按钮显示,点击“编辑”按钮,在弹出的窗口选择权限,并输入“Yes”,点击提交,修改成功。
6. 为什么有时候在控制台修改某个目录/文件夹的访问权限,会非常慢?

KS3的目录/文件夹是个虚拟的概念,一个文件所在的目录/文件夹仅仅是该object的key值的前缀。在控制台修改某个目录/文件夹的访问权限,会对key值前缀包含此目录的所有Object修改访问权限,如果目录下的文件较多,会导致队列堆积。在这种情况下,建议客户通过API遍历文件列表,调用接口修改访问权限。

7. 能为指定账户赋予某个Bucket或Object的权限吗?

可以通过Bucket Policy来实现这一功能,Bucket Policy可以精确的描述被授权的资源集、操作集以及被授权人。使用这一个功能需要你是这个Bucket的所有者。

8. KS3对象存储是否可以限制IP或者域名访问?

KS3对象存储支持防盗链功能,即支持域名访问的黑白名单。您可以在黑名单中添加禁止访问的来源域名。限制IP的访问,您可以使用Bucket policy 通过 condition 设置 SourceIp,详情请参考存储空间策略-Condition详解

金山云,开启您的云计算之旅

注册有礼