数据安全
最近更新时间: 2024-10-17 17:10:00
密钥问题
在哪里查看 APPID、SecretId、SecretKey 等密钥信息呢?
存储桶名称的后半部分即为 APPID 信息,您可以登录 对象存储控制台 查看。SecretId、SecretKey 等信息,请登录访问管理控制台的 API 密钥管理 中查看。
临时密钥的有效时间是多长?
最长2小时,即7200秒。临时密钥过期后,持有过期临时密钥的请求将会被拒绝。有关临时密钥的介绍请参见 临时密钥生成及使用指引。
密钥相关信息如 APPID、SecretId 等信息泄露了,如何处理?
用户可删除已泄露的密钥,并新建一个密钥。
如何对私有读写的文件生成具有时效性的访问链接?
详情请参见 临时密钥生成及使用指引 文档,设定密钥有效时间。
ACL+ Policy 等权限问题
进行上传下载等操作时,报错“403 Forbidden”、权限拒绝等该如何处理?
请按照以下步骤逐步排查问题:
请检查您的以下配置信息是否正确:
BucketName、APPID、Region、SecretId、SecretKey 等。
确保上述信息正确的前提下,请检查是否使用子账号操作,若使用子账号请检查主账号是否已对子账号授权。否则,请先登录主账号对子账号授权。
授权详情请参见 访问管理权限设置相关案例。
若使用临时密钥进行操作,请检查当前操作是否在获取临时密钥时设置的 Policy 中。否则请修改相关 Policy 设置。
若以上步骤仍无法解决问题,请 提交工单 联系我们。
使用存储桶默认域名访问公有读存储桶时会返回文件列表,如何隐藏文件列表信息?
您可以为对应存储桶设置一条 deny anyone 的 Get Bucket 权限。操作步骤如下:
登录对象存储控制台,选择存储桶列表,进入对应存储桶的权限管理页面。
方法 1:
找到 Policy权限设置,在【图形设置】下单击【添加策略】。
按照下图所示添加对应权限设置,单击【确定】保存。
方法 2:
找到 Policy 权限设置,单击【策略语法】>【编辑】,输入以下表达式:
{
"Statement": [
{
"Action": [
"name/cos:GetBucket",
"name/cos:GetBucketObjectVersions"
],
"Effect": "Deny",
"Principal": {
"qcs": [
"qcs::cam::anyone:anyone"
]
},
"Resource": [
"qcs::cos:ap-beijing:uid/1250000000:examplebucket-1250000000/*"
]
}
],
"version": "2.0"
}
注意:
请将“qcs::cos:ap-beijing:uid/1250000000:examplebucket-1250000000/*”中的相关信息进行以下替换:
- “ap-beijing”替换为您的存储桶所在地域。
- “1250000000”替换为您的 APPID 信息。
- “examplebucket-1250000000”替换为您的存储桶名称。 其中,APPID 为存储桶名称的后半部分,您可以在 对象存储控制台 查看存储桶名称。
COS 的 ACL 限制是针对存储桶还是账号?上传文件时是否可以指定权限?
ACL 限制针对账号。不建议上传文件时指定权限,容易导致 ACL + Policy 策略超过1000条而出现报错。
如何授权协作者访问指定存储桶?
协作者账号是一类特殊的子账号,详情请参见 访问策略语言概述。
多个业务需要对存储桶进行操作,是否可以根据存储桶或其他维度隔离权限?
登录 访问管理控制台,进入用户管理页面,可以给不同的业务开启子账号,并赋予不同的授权操作。
进行上传文件或创建存储桶等操作时,报错“your policy or acl has reached the limit (Status Code: 400; Error Code: PolicyFull)”该如何处理?
COS 每个主账号下存储桶和对象 ACL + Policy 的规则数量最多为1000条,当设置的相关 ACL 或 Policy 策略大于1000条时,会出现此报错,因此建议删除无用的 ACL 或 Policy 策略。
注意:
我们不建议使用文件级别的 ACL 或 Policy。建议您在调用 API 或 SDK 时,若不需要对文件进行特别的 ACL 控制时, 请将 ACL 相关参数(如 x-cos-acl、ACL 等)置空,保持继承存储桶权限。
如何为子公司或员工创建子账号,并授予特定存储桶的访问权限?
详情请参见 授权子账号访问 COS ,创建子账号并对其授权。
如何授权某些特定子账号只对某个存储桶有操作权限?
若希望子账号只有特定存储桶的操作权限,可以使用子账号添加路径。
如何使用 A 账号对 B 账号授权 A 账号下存储桶的写权限?
详情请参见 ACL 访问控制实践 和 CAM 访问管理实践 进行授权。
防盗链问题
能否设置白名单允许访问,并且浏览器单独打开链接也允许访问?
在设置防盗链时选择允许空 referer,即可在设置白名单的情况下,实现浏览器单独打开链接也可以访问。
设置了存储桶 test 的防盗链白名单,允许a.com
访问,但是a.com
下的网页播放器却不能播放存储桶 test 下的视频文件?
网页中使用 Windows Media Player、Flash Player 等播放器播放视频链接时,在请求里的 referer 为空,导致没命中白名单,建议设置白名单时允许空 referer。