對上雲企業來說,賬號安全和資源合理授權是構築立體防護體系的第一道門鎖。雲上資源管理的授權應該規避如下風險:
為員工建了子賬號,但是授權過大;
缺乏對使用帳號許可權的管理制度和流程;
沒有定期審計管理使用者的許可權和登入資訊;
賬戶分級:主賬號可以為所有合法的cam使用者,包括子賬號、協作者等,授予程式設計訪問和控制台訪問等不同的訪問形式;
許可權分級:則通過服務級、介面級、資源級等不同級別的授權,授權cam使用者可以在何種條件下通過何種的方式對何種資源進行何種操作;
首先,可以在主賬號裡建立子賬號,給子賬號分配主賬號下資源的管理許可權,而不需要分享主賬號的相關的身份憑證。
另外,可以針對不同的資源,授權給不同的人員不同的訪問許可權。例如,可以允許某些子賬號擁有某個cos儲存桶的讀許可權,而另外一些子賬號或者主賬號可以擁有某個cos儲存物件的寫許可權等。這裡的資源、訪問許可權、使用者都可以批量打包,從而做到精細化的許可權管理。
對於一些高危操作(如刪除資料)的許可權,也可剖離出來進行授權,僅允許使用者在控制台進行操作,同時通過開啟mfa校驗來進行二次認證。開啟mfa校驗後,使用者在執行此類高危操作時會觸發簡訊校驗碼進行校驗。
對於一些核心敏感資料,如金融交易資料、醫療影像資料等,可通過物件鎖定功能來防止檔案在上傳之後被刪除或者篡改。
配置物件鎖定功能後,在配置的有效期內,儲存桶內的所有資料將處於唯讀狀態,不可覆蓋或者刪除,此項操作對包括主賬號在內所有cam使用者及匿名使用者生效。
此項功能正在內測中,有需要的使用者請提交工單申請試用。
騰訊雲 COS 物件儲存 簡單檔案上傳筆記
cos 物件儲存 簡單檔案上傳 com.qcloud cos api 5.6.24 我使用的是cos的本地檔案上傳方式,前端傳來的檔案資料是 multipartfile 型別的,但是cos在接收本地檔案上傳時接收的檔案資料型別是 file 因此需要先轉一下並生成乙個臨時的本地檔案 生成在伺服器端 因...
騰訊雲cos物件儲存服務檔案上傳api就是乙個大坑
一 介紹 二 cos 檔案上傳api原始碼 單個檔案上傳,適用於小檔案 param bucketname bucket名稱 param remotepath 遠端檔案路徑 param localpath 本地檔案路徑 return 伺服器端返回的操作結果,成員code為0表示成功,具體參照文件手冊 ...
騰訊雲物件儲存COS資料智慧型分層特性正式發布
物件儲存智慧型分層特性提供了一種新的儲存型別。智慧型分層儲存為資料提供了冷熱分層機制,能夠根據使用者資料的訪問模式,自動地轉換資料的冷熱層級,從而降低使用者資料的儲存成本。智慧型分層儲存適用於訪問模式不固定或者無法預估訪問模式的資料。當資料儲存於智慧型分層儲存型別時,物件儲存服務將周期性地監測資料訪...