身份认证
OOS提供REST风格的API接口进行请求,既支持认证请求,也支持匿名请求。匿名请求通常仅用于需要公开访问的场景,例如静态网站托管。针对认证请求,OOS通过使用访问密钥(AK/SK)作为加密因子来进行认证鉴权,确认发送者身份。
OOS支持用户签名验证(V2)和用户签名验证(V4)。
访问控制
OOS支持通过访问权限、STS临时凭证、Bucket访问控制、Bucket安全策略、防盗链和跨域资源设置等进行访问控制。
| 产品能力 | 简要说明 |
|---|---|
| 访问控制 | 用户身份管理和访问控制(Identity and Access Management,简称IAM)是OOS为用户提供的用户身份与权限管理服务,您可以使用IAM创建、管理用户账号,并对这些账号进行权限分配,方便资源管理。 |
| STS临时凭证 | 通过STS(Security Token Service)给第三方应用或用户授予一个自定义时效的临时访问凭证,无需透露用户自身的AK/SK。 |
| Bucket访问权限控制 | 通过Bucket访问权限控制,可以对Bucket设置访问权限,包括公共读写、公共读、私有。 |
| Bucket安全策略 | 通过Bucket Policy功能授权IAM用户或其他用户访问您的OOS资源,例如向特定用户授予访问权限,以及向匿名用户授予带特定IP条件限制的访问权限。 |
| 防盗链 | 为了防止用户在OOS的数据被其他人盗链,OOS支持基于HTTP Header中表头字段Referer的防盗链方法,同时支持访问白名单和访问黑名单的设置。 |
| 跨域设置 | 跨域资源共享(CORS)是由W3C标准化组织提出的一种网络浏览器的规范机制,定义了一个域中加载的客户端Web应用程序与另一个域中的资源交互的方式。而在通常的网页请求中,由于同源安全策略(Same Origin Policy,SOP)的存在,不同域之间的网站脚本和内容是无法进行交互的。OOS支持CORS规范,允许跨域请求访问OOS中的资源。 |
事件记录
OOS可以记录用户的管理事件以及数据操作事件,可用于支撑安全分析、合规审计和问题定位等常见应用场景。
| 产品能力 | 功能说明 |
|---|---|
| 操作跟踪 | 操作跟踪用于记录OOS账户的管理事件,并将产生的跟踪日志保存到指定的OOS存储桶中。 |
| 日志 | 日志功能可以帮助记录所有Bucket和Object级别的操作记录, 您可以通过点击右边的单选框来开启/不开启用户日志功能,同时还可以通过设置目标存储桶(Bucket)和路径来指定日志的存储位置。 |
数据保护
OOS提供HTTPS访问、数据冗余存储、合规保留、确保数据安全可靠。
| 产品能力 | 简要说明 |
|---|---|
| HTTPS访问 | OOS支持HTTP和HTTPS两种传输协议,为保证数据传输的安全性,推荐您使用更加安全的HTTPS协议。 |
| 数据冗余存储 | OOS支持多种冗余存储,包括Erasure Code(EC,纠删码)和多副本。在保证数据安全性的情况下,OOS会选择最优冗余存储方案进行数据存储。 |
| 数据一致性校验(MD5) | OOS支持数据一致性校验,可以通过计算MD5值的方式对上传下载的数据进行一致性校验,确保数据安全。 |
| 合规保留 | OOS支持WORM特性,允许用户以“不可删除、不可篡改”方式保存和使用数据。 |
数据监控
OOS提供统计分析功能,支持查询指定Bucket的使用情况、指定数据域的使用情况。用户可以根据统计分析数据,采取对应的措施,详见统计。
