让IAM用户只能看到被授权的桶 场景介绍 本章节介绍如何通过企业项目为华为云账号下的某个IAM用户配置指定桶的权限,使其只能在控制台看到授权的桶并且拥有桶的指定权限,无法看到账号下的其他桶,实现桶资源的隔离。 本案例将指定IAM用户test-user只能在控制台看到名为example
业务部门之间桶资源隔离 按照给业务部门授予独立的资源权限的场景配置,虽然可以实现不同部门用户只能访问本部门的资源,但是每个用户都可以看到企业账号下的所有桶资源,无法做到只能看到自己部门的桶。本节介绍如何通过OBS Browser+添加外部桶的方式实现业务部门之间桶资源隔离。 场景假设
多版本控制 使用场景 利用多版本控制,您可以在一个桶中保留多个版本的对象,使您更方便地检索和还原各个版本,在意外操作或应用程序故障时快速恢复数据。 默认情况下,OBS中新创建的桶不会开启多版本功能,向同一个桶上传同名的对象时,新上传的对象将覆盖原有的对象。 约束与限制 开启了桶级WORM
获取桶的自定义域名 功能介绍 OBS使用GET操作来获取桶的自定义域名。 要使用该接口,使用者要求必须是桶的所有者,或者是桶所有者的子用户且具有获取自定义域名的权限。 请求消息样式 1 2 3 4 5 6 GET /?customdomain HTTP/1.1 User-Agent
删除桶的自定义域名 功能介绍 OBS使用DELETE操作来删除桶的自定义域名。 要使用该接口,使用者要求必须是桶的所有者,或者是桶所有者的子用户且具有删除自定义域名的权限。 请求消息样式 1 2 3 4 5 6 DELETE /?customdomain=domainname HTTP
列举桶中已初始化多段任务 功能介绍 用户可以通过本接口查询一个桶中所有的初始化后还未合并以及未取消的多段上传任务,了解完整的分段上传流程请参见分段上传。 请求消息样式 GET /?uploads&max-uploads=max HTTP/1.1 Host: bucketname.obs.region.myhuaweicloud.com
获取桶的跨区域复制配置 功能介绍 获取指定桶的复制配置信息。执行该配置操作前需要确保执行者拥有GetReplicationConfiguration权限。 请求消息样式 1 2 3 4 GET /?replication HTTP/1.1 Host: bucketname.obs.region.myhuaweicloud.com
删除桶的跨区域复制配置 功能介绍 删除桶的复制配置。执行该配置操作前需要确保执行者拥有DeleteReplicationConfiguration权限。 请求消息样式 1 2 3 4 DELETE /?replication HTTP/1.1 Host: bucketname.obs.region.myhuaweicloud.com
获取账号、IAM用户、项目、用户组、区域、委托的名称和ID 获取账号、IAM用户、项目的名称和ID 从控制台获取账号名、账号ID、用户名、用户ID、项目名称、项目ID 在华为云首页右上角,单击“控制台”。 在右上角的用户名中选择“我的凭证”。 图1 进入我的凭证 在“我的凭证”界面
降低因恶意访问导致资金或资源包损失的风险 由于场景和业务存在差异性,以下建议可能无法完全适配您的实际环境或满足特定要求,并不等同完整的安全解决方案,仅作为参考。 如果您的OBS桶或并行文件系统遭受恶意攻击或流量盗刷,会引发信息泄露和流量激增,造成资源包耗尽、高额账单等较大的资金损失
并行文件系统支持的特性 并行文件系统支持的API列表 本节主要介绍并行文件系统和已有的OBS API的兼容情况,并对部分兼容的API进行差异说明。 关于OBS各个API接口的详细介绍,请参见《对象存储服务API参考》。 桶基础操作接口 表1 桶基础操作接口 接口 并行文件系统是否兼容
跨账号跨区域桶之间数据复制 使用场景 跨账号跨区域复制是指将某个账号某个区域下的源桶中的数据复制到其他账号其他区域下的目标桶中。 支持复制的对象范围:可以选择文件/文件夹、对象列表、指定对象前缀、指定URL列表来复制对象。 支持复制的对象内容:对象内容、元数据(对象名称、大小、最后修改时间
客户端加密接口详情(Python SDK) 初始化 CryptoCipher OBS Python SDK 提供两种 CryptoCipher。您可根据使用场景自行选择。 CtrRSACipherGenerator 需要提供一个 RSA 公钥或 RSA 私钥,用以加密随机生产的数据密钥
分段上传-初始化上传段任务(Python SDK) 功能说明 使用多段上传特性时,用户必须首先调用创建多段上传任务接口创建任务,系统会给用户返回一个全局唯一的多段上传任务号,作为任务标识。后续用户可以根据这个标识发起相关的请求,如:上传段、合并段、列举段等。创建多段上传任务不影响已有的同名对象
获取桶的自定义域名(Go SDK) 功能介绍 调用获取桶的自定义域名配置接口,您可以获取指定桶的自定义域名配置信息。 接口约束 您必须是桶拥有者或拥有获取桶的自定义域名配置的权限,才能获取桶的自定义域名配置。建议使用IAM或桶策略进行授权,如果使用IAM则需授予obs:bucket
下载对象-流式下载(Go SDK) 功能说明 您可以根据需要将存储在OBS中的对象下载到本地。 流式下载指定文件。 接口约束 您必须是桶拥有者或拥有下载对象的权限,才能下载对象。建议使用IAM或桶策略进行授权,如果使用IAM则需授予obs:object:GetObject权限,如果使用桶策略则需授予
删除桶的自定义域名(Go SDK) 功能介绍 调用删除桶的自定义域名接口,您可以删除指定桶的自定义域名信息。 接口约束 您必须是桶拥有者或拥有删除桶的自定义域名的权限,才能删除桶的自定义域名。建议使用IAM或桶策略进行授权,如果使用IAM则需授予obs:bucket:DeleteBucketCustomDomainConfiguration
使用账号登录时,界面提示“获取用户的Token失败” 在使用OBS Browser+过程中,如果使用账号登录时提示“获取用户的Token失败”,原因是Nodejs限制Http头大小。可尝试设置系统环境变量解决。 以Windows 10 64位系统为例,步骤如下: 进入系统页面,路径为
是否支持统计文件夹内的文件数目及大小 OBS Browser+不支持统计文件夹内的文件数目及大小,可以使用obsutil列举对象命令,指定前缀为需要查看的文件夹进行列举。 以Linux操作系统为例,运行./obsutil ls obs://bucket-test/test/ -du
OBS客户端通用示例(Node.js SDK) 开发过程中,您有任何问题可以在github上提交issue。 回调函数返回结果: OBS客户端可通过回调函数的形式返回结果,回调函数依次包含异常信息和SDK公共结果对象两个参数。如果回调函数中异常信息参数不为空,则表明接口调用异常;反之
