「鬼」計多端 誰敢動你的數據？對象存儲服務訪問控制原理介紹

「鬼」計多端 誰敢動你的數據？對象存儲服務訪問控制原理介紹

來自專欄程序員之家6 人贊了文章

【小宅按】對象存儲服務（後稱OBS）的核心資產是用戶數據。訪問控制是眾多保護數據安全措施中的重要組成部分，主要用於保護數據的機密性和完整性，確保數據不被未授權訪問和篡改。

用戶可以通過多種方式訪問OBS：

① OBS Console；（web圖形化界面）

② OBS Browser；（本地圖形化軟體）

③ OBS SDK；（開發工具庫）無論哪種方式，大致過程為：用戶通過HTTP請求的方式訪問OBS提供的REST API介面，將數據存儲在OBS系統，並在後續對已存在的數據進行包括訪問在內的各種業務操作。在這一過程中，用戶會和OBS以及其它華為雲服務產生多次交互。

以用戶使用OBS Console上傳一張圖片為例，步驟大概如下：（使用界面和使用SDK有少許差異，這裡暫以Console為例。）

① 註冊華為雲賬號，通過實名認證，成為華為雲的合法用戶；（身份標識）

② 使用申請到的賬號登錄華為雲；（身份認證）

③ 點擊「創建桶」按鈕，輸入桶相關信息創建桶；（鑒權）

④ 點擊「上傳」按鈕，選擇本地圖片上傳到桶；（鑒權）

⑤ 後台記錄操作日誌，用戶XXX做了創建桶和上傳對象操作；（可問責性）

上訴過程構成了OBS訪問控制的幾個核心步驟：

① 身份標識：華為雲權威服務IAM頒發憑證給用戶；

② 身份認證：使用用戶提供的憑證判斷用戶是否是自己聲稱的那個人；

③ 鑒權：用戶是否有操作某個/些資源的授權；

④ 可問責性：確保用戶對所做過的操作無法抵賴。用戶想要訪問資源，首先必須是系統的合法用戶，然後向系統證明他是自己所聲明的人，並且具有執行所請求動作的必要許可權。步驟完成後，用戶將可以訪問資源。然後，為了保證可追溯，系統還會跟蹤記錄用戶的活動，留待必要時對其動作實施問責。

身份標識通常由用戶在IAM完成，通過頁面引導，用戶註冊自己的用戶名，並設置和用戶名對應的憑證信息。完成後，用戶還需要創建對應的AK/SK，針對OBS，AK就是用戶的身份標識，SK就是用戶的身份憑證。這部分不在本文詳述。可問責性實際是通過審計日誌實現，這部分也不在本文詳述。身份認證和鑒權屬於OBS訪問控制的關鍵安全機制，後續將詳細講解。

更多精彩內容，請滑至頂部點擊右上角關注小宅哦~

---

來源：華為雲社區 原文鏈接

推薦閱讀：