OBS通过多种数据保护手段和特性,保障存储在OBS中的数据安全可靠。
表5-2 OBS 的数据保护手段和特性
数据保护手段 简要说明 详细介绍
传输加密(HTTPS) OBS支持HTTP和HTTPS两种传输协 议,为保证数据传输的安全性,推荐 您使用更加安全的HTTPS协议。
构造请求
文档版本 31 (2021-11-30) 版权所有 © 华为技术有限公司 26
数据保护手段 简要说明 详细介绍 数据冗余存储 OBS采用Erasure Code(EC,纠删
码)算法做数据冗余,不是以副本的 形式存储。在满足同等可靠性要求的 前提下,EC的空间利用率优于多副 本。
OBS创建桶时支持选择数据冗余存储 策略,选择多AZ存储时,数据冗余存 储在同区域的多个AZ。当某个AZ不可 用时,仍然能够从其他AZ正常访问数
存在数据不一致的问题。OBS提供通 过计算MD5值的方式对上传下载的数 据进行一致性校验。 进行身份验证,进一步保证OBS配置
敏感操作保护介绍
用户开通云审计服务并创建和配置追踪器后,CTS可记录OBS的管理事件和数据事件用 于审计。
CTS的详细介绍和开通配置方法,请参见CTS快速入门。
CTS支持追踪的OBS管理事件和数据事件列表,请参见审计。
图5-2 云审计服务
日志
出于分析或审计等目的,用户可以开启桶的日志记录功能。通过访问日志记录,桶的 拥有者可以深入分析访问该桶的用户请求性质、类型或趋势。当用户开启一个桶的日 志记录功能后,OBS会自动对这个桶的访问请求记录日志,并生成日志文件写入用户 指定的桶中。
关于OBS日志记录的详细介绍和配置方法,请参见日志记录。
5.5 服务韧性
OBS提供五级可靠性架构,通过跨区域复制、AZ之间数据容灾、AZ内设备和数据冗 余、存储介质的慢盘/坏道检测等技术方案,保障数据的持久性和可靠性。
文档版本 31 (2021-11-30) 版权所有 © 华为技术有限公司 28
图5-3 五级可靠性架构保证数据稳定,业务可靠
5.6 监控安全风险
OBS提供基于云监控服务CES的资源和操作监控能力,帮助用户监控帐号下的OBS桶,
执行自动实时监控、告警和通知操作。用户可以实时掌握桶中所产生的各类请求、流 量、带宽、错误响应和存储用量等信息。
关于OBS支持的监控指标,以及如何创建监控告警规则等内容,请参见监控。
同时,OBS控制台支持监控帐号下的资源总用量,以及单桶的用量统计,详情请参见 查看用量。
5.7 认证证书
华为云服务及平台通过了多项国内外权威机构(ISO/SOC/PCI等)的安全合规认证,用 户可自行申请下载合规资质证书。华为云还提供以下资源来帮助用户满足合规性要
行业 合规性说明
CSA CSA CCM 合规性说明(CSA CAIQ v3.1)
PDPL 阿根廷 PDPL 合规性说明
DBSS
软件著作权证书
软件著作权证书
● 漏洞扫描服
务 VSS ● 数据库安全
DBSS ● 数据安全中
心 DSC ● 数据加密服
务 DEW
-6 使用限制
本章介绍对象存储服务OBS一些主要特性的使用限制。
表6-1 对象存储服务 OBS 使用限制
限制项 说明
带宽 单个华为云帐号默认的读写(GET/PUT)带宽上限是 16Gbit/s。如果带宽达到该阈值,请求会触发流控。
如果您的业务有更大的带宽需求,请提交工单申请。
每秒请求数
(Query Per Second, QPS)
● 单个华为云帐号默认的写请求(PUT Object)上限是6000请 求每秒。
● 单个华为云帐号默认的读请求(GET Object)上限是10000 请求每秒。
● 单个华为云帐号默认的列举类请求(LIST)上限是1000请求 每秒。
说明
如果用户在对象命名规则上使用了顺序前缀(如时间戳或字母顺序),
可能导致大量对象的请求访问集中于某个特定分区,造成访问热点。会 使热点分区上的请求速率受限,访问时延上升。
推荐使用随机前缀对象名,这样请求就会均匀分布在多个分区,达到水 平扩展的效果。使用随机前缀对象名的方法,请参见性能优化最佳实 践。
如果您的业务有更大的QPS需求,请提交工单申请。
文档版本 31 (2021-11-30) 版权所有 © 华为技术有限公司 32
限制项 说明
访问规则 OBS基于DNS解析性能和可靠性的考虑,要求凡是携带桶名的 请求,在构造URL的时候都必须将桶名放在domain前面,形成 三级域名形式,又称为虚拟主机访问域名。
例如,如果您有一个位于cn-north-4区域的名为test-bucket的 桶,期望访问桶中一个名为test-object对象的acl,正确的访问
URL为https://test-bucket.obs.cn-north-4.myhuaweicloud.com/test-object?acl
桶 ● 在OBS中,桶名必须是全局唯一的且不能修改,即用户创建 的上限为100个。建议结合OBS细粒度权限控制能力,合理 进行桶规划和使用。例如,建议在桶内根据对象前缀划分不
限制项 说明
上传对象 ● OBS管理控制台支持批量上传文件,单次最多支持100个文 件同时上传,总大小不超过5GB。如果只上传1个文件,则这 个文件最大为5GB。
● OBS Browser+、obsutil、API和SDK上传的单个对象最大是 48.8TB。
● 支持批量上传功能需要满足以下条件:
OBS桶的版本号为“3.0”。
● 在未开启多版本控制功能的情况下,如果新上传的文件和桶 内文件重名,则新上传的文件会自动覆盖老文件,且不会保 留老文件的ACL等信息;如果新上传的文件夹和桶内文件夹 重名,则上传后会将新老文件夹合并,合并过程如遇重名文 DNS、Web安全字符、XML分析器和其他API的要求。
桶策略 单个桶的桶策略条数(statement)没有限制,但一个桶中所有 桶策略的JSON描述总大小不能超过20KB。
ACL ● 一个桶的桶ACL最多支持100条授权。
● 一个对象的对象ACL最多支持100条授权。
生命周期管理 单个桶的生命周期规则条数没有限制,但一个桶中所有生命周 期规则的XML描述总大小不能超过20KB。
恢复归档存储对
限制项 说明
自定义域名绑定 ● 桶版本号为3.0及以上的桶支持自定义绑定域名功能。
● 每个桶默认最多绑定20个自定义域名,部分区域支持最多绑 定30个自定义域名(如华南-广州),各区域支持绑定的最 大值请以控制台自定义域名绑定页面的实际规格为准。
● OBS自定义域名绑定暂时不支持HTTPS访问自定义域名,只 支持HTTP访问自定义域名。
客户自定义域名绑定成功后,若想使用HTTPS进行访问,需 同时使用CDN,通过CDN管理控制台进行HTTPS证书管理,
即可使用HTTPS访问。
CDN管理控制台HTTPS证书管理方式,详情请参见HTTPS配 置。
● 一个自定义域名只能绑定到一个桶域名上。
● 绑定的自定义域名后缀目前支持的范围为2~6个英文大小写 字母。
数据回源 详见数据回源简介
Data+(公测) ● 当前仅在以下区域公测开放:华北-北京一、华北-北京四、
华东-上海二。
● 当前仅支持创建串行的工作流。
● 一个事件触发器仅支持关联一个工作流,一个工作流可同时 被多个事件触发器关联。
● 当前暂不支持创建重名工作流,即使工作流被删除后,也不 能再创建与之重名的工作流。
● 同一桶内的触发器名称不允许重复。
● Data+工作流及工作流中使用的FunctionGraph、数据处理服 务、消息通知服务、OBS桶等均需要在相同区域的默认项目 下。
说明Data+工作流所属区域为创建工作流的桶所属区域。例如工作流A是 在桶A中创建的,则桶A的区域即为工作流A的区域。
桶清单 详见桶清单简介
7 权限管理
如果您需要对华为云上购买的OBS资源,为企业中的员工设置不同的用户访问权限,
以达到不同员工之间的权限隔离,您可以使用统一身份认证服务(Identity and Access Management,简称IAM)进行精细的权限管理。该服务提供用户身份认证、权限分 配、访问控制等功能,可以帮助您安全的控制云服务资源的访问。
通过IAM,您可以在华为云帐号中给员工创建IAM用户,并授权控制他们对华为云资源 的访问范围。例如您的员工中有负责软件开发的人员,您希望他们拥有OBS的使用权 限,但是不希望他们拥有删除OBS资源等高危操作的权限,那么您可以使用IAM为开发 人员创建用户,通过授予仅能使用OBS,但是不允许删除OBS资源的权限,控制他们 对OBS资源的使用范围。
如果华为云帐号已经能满足您的要求,不需要创建独立的IAM用户进行权限管理,您 可以跳过本章节,不影响您使用OBS的其它功能。
IAM是华为云提供权限管理的基础服务,无需付费即可使用,您只需要为您帐号中的 资源进行付费。关于IAM的详细介绍,请参见《IAM产品介绍》。
OBS 权限
默认情况下,管理员创建的IAM用户没有任何权限,需要将其加入用户组,并给用户 组授予策略和角色,才能使得用户组中的用户获得策略定义的权限,这一过程称为授 权。授权后,用户就可以基于被授予的权限对云服务进行操作。
OBS部署时不区分物理区域,为全局级服务。授权时,在全局级服务中设置权限,访 问OBS时,不需要切换区域。
根据授权精细程度分为角色和策略。
● 角色:IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该 机制以服务为粒度,提供有限的服务相关角色用于授权。由于华为云各服务之间 存在业务依赖关系,因此给用户授予角色时,可能需要一并授予依赖的其他角 色,才能正确完成业务。角色并不能满足用户对精细化授权的要求,无法完全达 到企业对权限最小化的安全管控要求。
● 策略:IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资 源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业 对权限最小化的安全管控要求。例如:针对OBS服务,管理员能够控制IAM用户
● 策略:IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资 源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业 对权限最小化的安全管控要求。例如:针对OBS服务,管理员能够控制IAM用户