Appearance
访问控制
签名认证访问
Flyme云采用统一的API鉴权认证机制,详情请见鉴权认证机制。
AK/SK鉴权
AK/SK是指您在注册FOS时,系统自动分配给您的AK(Access Key ID)/SK(Secret Access Key),主要用于对租户的调用行为进行鉴权和认证,相当于Flyme云API专用的用户名及密码。您向FOS发送的每个请求,都需要通过鉴权认证通过后,FOS才会处理您的请求。
Bucket权限控制
关于权限控制中出现的 grantee 均代表租户CODE 和 租户ID组成的字符串,其中组合方式为 "{租户CODE}-{租户ID}",非用户ID。目前权限控制暂时只支持到租户级别。
权限控制概述
FOS支持使用ACL对Bucket权限进行管理。Bucket ACL是附属于资源即某个Bucket的权限,其本质上是授权租户(grantee)可以执行哪些操作(permission)。为了方便租户更精细地控制Bucket里的资源,Bucket ACL支持resource和notResource字段。Resource字段用于实现对指定范围的prefix和object粒度的权限控制,notResource字段用户实现对指定范围外的prefix和object粒度的权限控制。 此外,Bucket ACL还支持condition字段,Condition字段可以用来设置访问者的IP、Referer等信息。
为了保障您存储在FOS中数据的高安全性,FOS的权限体系为Bucket标准权限(即CannedACL)的粗粒度自定义权限。
FOS目前可以通过使用CannedAcl方式来设置ACL,通过PutBucketAcl接口实现。CannedAcl本质上就是对几种常见的权限控制场景进行了封装,直接在PutBucketAcl的头域中的“x-fos-acl”字段对资源进行设置。
使用CannedAcl方式的权限控制
CannedAcl是一种方便租户使用的方式,对常见的几种权限情况进行了封装。通过在PutBucketAcl的头域中的“x-fos-acl”字段对该资源进行设0置的。例:x-fos-acl:public-read。字段区分大小写。 当前支持的CannedAcl包括:
| ACL | 添加的权限 |
|---|---|
| private(私有) | Bucket的创建租户获得FULL_CONTROL,其他人没有任何权限 |
| public-read(公共读) | Bucket的创建租户获得FULL_CONTROL,其他人获得READ权限 |
| public-read-write(公共读写) | Bucket的创建租户获得FULL_CONTROL,其他人获得READ和WRITE权限。注意:该权限安全风险极高。 |
说明: 通过PutBucket创建的新Bucket权限默认是private。
查看访问权限
- 查看某Bucekt的访问权限,详见GetBucketAcl接口。