华为云OBS支持三种访问控制方式:IAM权限策略(用户级别的授权)、桶策略(桶级别的访问规则)、对象ACL(单个对象的访问权限)。建议组合使用实现精细化控制。
桶策略支持基于IP、VPC、账号等条件的精细授权。例如:限制只有特定IP段可以访问桶中的文件、只允许内网VPC访问、只允许HTTPS协议访问等。
通过预签名URL可以生成带时效的临时访问链接,在不公开桶权限的情况下让特定用户下载文件。适用于文件分享、API集成等场景。
OBS支持服务端加密(SSE-OBS/SSE-KMS/SSE-C),上传到OBS的数据在服务端自动进行加密存储,即使存储介质被盗也无法读取数据内容。
1. 禁止桶公共读写。2. 使用IAM最小权限原则。3. 启用访问日志记录。4. 定期审计权限配置。