对象存储

  • 对象存储 > 最佳实践 > 数据安全最佳实践 > 降低因账号密码泄露带来的未授权访问风险

    降低因账号密码泄露带来的未授权访问风险

    最近更新时间: 2022-07-05 17:51:03

    避免代码明文使用AccessKey

    Kodo 对象存储提供成对创建和使用的密钥对,并提供两份密钥对以备用。其中 AccessKey 会在传输中包含,需要避免明文使用AK,而用户必须保管好 SecretKey 不在网络上传输以防止被窃取。若 SecretKey 被恶意第三方窃取,可能导致非常严重的数据泄漏风险。因此,如发现 SecretKey 被非法使用,七牛支持管理员禁用该密钥对、更换新密钥对。

    权限隔离

    空间的访问控制功能,能够统一的限制对空间中数据的访问。Kodo 支持设置空间访问权限为公开或私有,设置私有空间可有效减少非预期的访问、保障数据被安全访问。

    • 公开空间,可通过文件对象的 URL 直接访问。
    • 私有空间,文件对象的访问则必须获得拥有者的授权才能访问。

    更多设置详情请参考设置访问控制

    Kodo 支持开通 IAM 权限,基于对资源的功能策略,实现对指定子用户、子用户群组的访问、操作限制,来达到访问安全、可控的目的。如:

    • 限制指定子用户、子用户群组对资源的功能操作
    • 限制指定子用户、子用户群组对空间的创建、删除操作
    • 限制指定子用户、子用户群组对空间使用计量的查询
    以上内容是否对您有帮助?
  • Qvm free helper
    Close