<p class="p">一般来讲，对OBS 服务访问者的分类如下：</p> <p class="p"><strong class="ph b">按访问者的角色可分为所有者访问和第三方用户访问。</strong></p> <ul class="ul" id="Storageaccess__ul_wjm_dcz_kkb"> <li class="li">所有者就是该Bucket的拥有者，通常是使用主账号创建该Bucket的用户，默认拥有该Bucket所有权限。</li> <li class="li">第三方用户是指授权访问Bucket的用户。授权通过访问控制RAM服务来进行，用户如果被授予管理权限(Administrator）或者OBSFullAccess权限，则可以进行任何Bucket访问操作，如果被授予OBSReadOnlyAccess权限，则只可以进行Bucket读操作。如果使用系统自带的RAM权限无法满足需求，可以通过RAM自定义策略进行更细粒度的用户授权。</li> </ul> <p class="p"><strong class="ph b">按访问者的身份信息可分为匿名访问和带签名访问。</strong></p> <p class="p">匿名访问是指请求的HTTP Header中没有携带任何与身份相关的信息的访问方式。带签名访问是指请求的HTTP Header中携带AccessKey和SecretKey签名相关信息的访问方式。OBS 通过使用 AccessKey 和SecretKey对称加密的方法来验证某个请求的发送者身份。AccessKey用于标识用户，SecretKey是用户用于加密签名字符串和 OBS 用来验证签名字符串的密钥，其中 SecretKey必须保密。</p> <p class="p">对于 OBS 来说，AK、SK的来源有Bucket 的所有者（主账户或子账户）申请的 AK、SK，及被 Bucket 的所有者通过 RAM 授权给第三方请求者的 AK、SK。您可以在OBS的控制台中查看存储桶的AK和SK，具体方式请参考<a class="xref" href="/ssr/help/storage/obs/Operationguide.managespacestorage.Querystoragespaceinformation" target="_blank">查询存储空间信息</a>。</p> <div class="p">针对存放在Bucket的Object的访问，OBS的权限控制方式如下：<ol class="ol" id="Storageaccess__ol_p44_lfz_kkb"> <li class="li">验证Bucket读写权限，读写权限有以下几类：<ul class="ul" id="Storageaccess__ul_xjm_dcz_kkb"> <li class="li">私有：只有身份验证通过的访问者（Bucket所有者或被授权者）才可以对该Bucket中的对象进行读、写、删除操作，其他访问者未经授权无法访问该Bucket中对象，是默认级别，也是最安全的。</li> <li class="li">公共读（私有写）：只有身份验证通过的访问者才可以对该Bucket中的对象进行读、写、删除操作，其他任何人（包括匿名访问者）只可以进行读操作。<div class="note warning note_warning"><span class="note__title">警告：</span> 由于任何人都可以访问该Bucket中的对象，因此，可能会造成数据泄露及费用激增。请谨慎操作。</div></li> <li class="li">公共读写：任何人（包括匿名访问）都可以对该Bucket中的对象进行读、写、删除操作。<div class="note warning note_warning"><span class="note__title">警告：</span> 由于任何人都可以访问该Bucket内的对象，并且还可以写入数据。可能会被人恶意篡改对象数据，侵害您的合法权 益。 除特殊场景外，不建议您使用公共读写权限。</div></li> </ul></li> <li class="li">访问者身份鉴权<p class="p">访问者身份鉴权是指对带签名访问者进行身份鉴权。通过请求的HTTP Header中的签名信息来鉴别是否为桶所有者或被授权者，只有身份鉴权通过才可以允许相关访问请求。</p><p class="p">关于OBS访问权限控制流程，如下图示，OBS收到用户请求后，会首先对存储空间的读写权限进行验证：</p><ul class="ul" id="Storageaccess__ul_bkm_dcz_kkb"> <li class="li">若权限为私有，或者公共读的写操作，则会对请求者进行身份鉴权，只有身份鉴权通过，才能返回对象数据。</li> <li class="li">若权限为公共读的读操作，或者公共读写，则无需对请求者进行身份鉴权，直接返回对象数据。</li> </ul><img class="image" id="Storageaccess__image_wdp_jgz_kkb" src="https://obs-cn-shanghai.pinganyun.com/pcp-portal/20241001165622-1b4d907996e5.png" width="800"></li> </ol></div>