租户端 存储 对象存储(COS) 常见问题

数据安全

最近更新时间: 2024-10-17 17:10:00

密钥问题

在哪里查看 APPID、SecretId、SecretKey 等密钥信息呢?

存储桶名称的后半部分即为 APPID 信息,您可以登录 对象存储控制台 查看。SecretId、SecretKey 等信息,请登录访问管理控制台的 API 密钥管理 中查看。

临时密钥的有效时间是多长?

最长2小时,即7200秒。临时密钥过期后,持有过期临时密钥的请求将会被拒绝。有关临时密钥的介绍请参见 临时密钥生成及使用指引

密钥相关信息如 APPID、SecretId 等信息泄露了,如何处理?

用户可删除已泄露的密钥,并新建一个密钥。

如何对私有读写的文件生成具有时效性的访问链接?

详情请参见 临时密钥生成及使用指引 文档,设定密钥有效时间。

ACL+ Policy 等权限问题

进行上传下载等操作时,报错“403 Forbidden”、权限拒绝等该如何处理?

请按照以下步骤逐步排查问题:

  1. 请检查您的以下配置信息是否正确:

    BucketName、APPID、Region、SecretId、SecretKey 等。

  2. 确保上述信息正确的前提下,请检查是否使用子账号操作,若使用子账号请检查主账号是否已对子账号授权。否则,请先登录主账号对子账号授权。

    授权详情请参见 访问管理权限设置相关案例

  3. 若使用临时密钥进行操作,请检查当前操作是否在获取临时密钥时设置的 Policy 中。否则请修改相关 Policy 设置。

  4. 若以上步骤仍无法解决问题,请 提交工单 联系我们。

使用存储桶默认域名访问公有读存储桶时会返回文件列表,如何隐藏文件列表信息?

您可以为对应存储桶设置一条 deny anyone 的 Get Bucket 权限。操作步骤如下:

登录对象存储控制台,选择存储桶列表,进入对应存储桶的权限管理页面。

方法 1:

  1. 找到 Policy权限设置,在【图形设置】下单击【添加策略】。

  2. 按照下图所示添加对应权限设置,单击【确定】保存。

方法 2:

找到 Policy 权限设置,单击【策略语法】>【编辑】,输入以下表达式:

{
  "Statement": [
    {
      "Action": [
        "name/cos:GetBucket",
        "name/cos:GetBucketObjectVersions"
      ],
      "Effect": "Deny",
      "Principal": {
        "qcs": [
          "qcs::cam::anyone:anyone"
        ]
      },
      "Resource": [
        "qcs::cos:ap-beijing:uid/1250000000:examplebucket-1250000000/*"
      ]
    }
  ],
  "version": "2.0"
}

注意:

请将“qcs::cos:ap-beijing:uid/1250000000:examplebucket-1250000000/*”中的相关信息进行以下替换:

  • “ap-beijing”替换为您的存储桶所在地域。
  • “1250000000”替换为您的 APPID 信息。
  • “examplebucket-1250000000”替换为您的存储桶名称。 其中,APPID 为存储桶名称的后半部分,您可以在 对象存储控制台 查看存储桶名称。

COS 的 ACL 限制是针对存储桶还是账号?上传文件时是否可以指定权限?

ACL 限制针对账号。不建议上传文件时指定权限,容易导致 ACL + Policy 策略超过1000条而出现报错。

如何授权协作者访问指定存储桶?

协作者账号是一类特殊的子账号,详情请参见 访问策略语言概述

多个业务需要对存储桶进行操作,是否可以根据存储桶或其他维度隔离权限?

登录 访问管理控制台,进入用户管理页面,可以给不同的业务开启子账号,并赋予不同的授权操作。

进行上传文件或创建存储桶等操作时,报错“your policy or acl has reached the limit (Status Code: 400; Error Code: PolicyFull)”该如何处理?

COS 每个主账号下存储桶和对象 ACL + Policy 的规则数量最多为1000条,当设置的相关 ACL 或 Policy 策略大于1000条时,会出现此报错,因此建议删除无用的 ACL 或 Policy 策略。

注意:

我们不建议使用文件级别的 ACL 或 Policy。建议您在调用 API 或 SDK 时,若不需要对文件进行特别的 ACL 控制时, 请将 ACL 相关参数(如 x-cos-acl、ACL 等)置空,保持继承存储桶权限。

如何为子公司或员工创建子账号,并授予特定存储桶的访问权限?

详情请参见 授权子账号访问 COS ,创建子账号并对其授权。

如何授权某些特定子账号只对某个存储桶有操作权限?

若希望子账号只有特定存储桶的操作权限,可以使用子账号添加路径。

如何使用 A 账号对 B 账号授权 A 账号下存储桶的写权限?

详情请参见 ACL 访问控制实践CAM 访问管理实践 进行授权。

防盗链问题

能否设置白名单允许访问,并且浏览器单独打开链接也允许访问?

在设置防盗链时选择允许空 referer,即可在设置白名单的情况下,实现浏览器单独打开链接也可以访问。

设置了存储桶 test 的防盗链白名单,允许a.com访问,但是a.com下的网页播放器却不能播放存储桶 test 下的视频文件?

网页中使用 Windows Media Player、Flash Player 等播放器播放视频链接时,在请求里的 referer 为空,导致没命中白名单,建议设置白名单时允许空 referer。