认证证书

华为云服务及平台通过了多项国内外权威机构（ISO/SOC/PCI等）的安全合规认证，用 户可自行申请下载合规资质证书。华为云还提供以下资源来帮助用户满足合规性要

行业 合规性说明

CSA CSA CCM 合规性说明（CSA CAIQ v3.1）

PDPL 阿根廷 PDPL 合规性说明

DBSS

软件著作权证书

软件著作权证书

● 漏洞扫描服

务 VSS ● 数据库安全

DBSS ● 数据安全中

心 DSC ● 数据加密服

务 DEW

-6 ^使用限制

本章介绍对象存储服务OBS一些主要特性的使用限制。

表6-1 对象存储服务 OBS 使用限制

限制项 说明

带宽 单个华为云帐号默认的读写（GET/PUT）带宽上限是 16Gbit/s。如果带宽达到该阈值，请求会触发流控。

如果您的业务有更大的带宽需求，请提交工单申请。

每秒请求数

（Query Per Second, QPS）

● 单个华为云帐号默认的写请求（PUT Object）上限是6000请 求每秒。

● 单个华为云帐号默认的读请求（GET Object）上限是10000 请求每秒。

● 单个华为云帐号默认的列举类请求（LIST）上限是1000请求 每秒。

说明

如果用户在对象命名规则上使用了顺序前缀（如时间戳或字母顺序），

可能导致大量对象的请求访问集中于某个特定分区，造成访问热点。会 使热点分区上的请求速率受限，访问时延上升。

推荐使用随机前缀对象名，这样请求就会均匀分布在多个分区，达到水 平扩展的效果。使用随机前缀对象名的方法，请参见性能优化最佳实 践。

如果您的业务有更大的QPS需求，请提交工单申请。

文档版本 31 (2021-11-30) 版权所有 © 华为技术有限公司 32

限制项 说明

访问规则 OBS基于DNS解析性能和可靠性的考虑，要求凡是携带桶名的 请求，在构造URL的时候都必须将桶名放在domain前面，形成 三级域名形式，又称为虚拟主机访问域名。

例如，如果您有一个位于cn-north-4区域的名为test-bucket的 桶，期望访问桶中一个名为test-object对象的acl，正确的访问

URL为https://test-bucket.obs.cn-north-4.myhuaweicloud.com/test-object?acl

桶 ● 在OBS中，桶名必须是全局唯一的且不能修改，即用户创建 的上限为100个。建议结合OBS细粒度权限控制能力，合理 进行桶规划和使用。例如，建议在桶内根据对象前缀划分不

限制项 说明

上传对象 ● OBS管理控制台支持批量上传文件，单次最多支持100个文 件同时上传，总大小不超过5GB。如果只上传1个文件，则这 个文件最大为5GB。

● OBS Browser+、obsutil、API和SDK上传的单个对象最大是 48.8TB。

● 支持批量上传功能需要满足以下条件：

OBS桶的版本号为“3.0”。

● 在未开启多版本控制功能的情况下，如果新上传的文件和桶 内文件重名，则新上传的文件会自动覆盖老文件，且不会保 留老文件的ACL等信息；如果新上传的文件夹和桶内文件夹 重名，则上传后会将新老文件夹合并，合并过程如遇重名文 DNS、Web安全字符、XML分析器和其他API的要求。

桶策略 单个桶的桶策略条数（statement）没有限制，但一个桶中所有 桶策略的JSON描述总大小不能超过20KB。

ACL ● 一个桶的桶ACL最多支持100条授权。

● 一个对象的对象ACL最多支持100条授权。

生命周期管理 单个桶的生命周期规则条数没有限制，但一个桶中所有生命周 期规则的XML描述总大小不能超过20KB。

恢复归档存储对

限制项 说明

自定义域名绑定 ● 桶版本号为3.0及以上的桶支持自定义绑定域名功能。

● 每个桶默认最多绑定20个自定义域名，部分区域支持最多绑 定30个自定义域名（如华南-广州），各区域支持绑定的最 大值请以控制台自定义域名绑定页面的实际规格为准。

● OBS自定义域名绑定暂时不支持HTTPS访问自定义域名，只 支持HTTP访问自定义域名。

客户自定义域名绑定成功后，若想使用HTTPS进行访问，需 同时使用CDN，通过CDN管理控制台进行HTTPS证书管理，

即可使用HTTPS访问。

CDN管理控制台HTTPS证书管理方式，详情请参见HTTPS配 置。

● 一个自定义域名只能绑定到一个桶域名上。

● 绑定的自定义域名后缀目前支持的范围为2~6个英文大小写 字母。

数据回源 详见数据回源简介

Data+（公测） ● 当前仅在以下区域公测开放：华北-北京一、华北-北京四、

华东-上海二。

● 当前仅支持创建串行的工作流。

● 一个事件触发器仅支持关联一个工作流，一个工作流可同时 被多个事件触发器关联。

● 当前暂不支持创建重名工作流，即使工作流被删除后，也不 能再创建与之重名的工作流。

● 同一桶内的触发器名称不允许重复。

● Data+工作流及工作流中使用的FunctionGraph、数据处理服 务、消息通知服务、OBS桶等均需要在相同区域的默认项目 下。

说明Data+工作流所属区域为创建工作流的桶所属区域。例如工作流A是 在桶A中创建的，则桶A的区域即为工作流A的区域。

桶清单 详见桶清单简介

7 ^权限管理

如果您需要对华为云上购买的OBS资源，为企业中的员工设置不同的用户访问权限，

以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分 配、访问控制等功能，可以帮助您安全的控制云服务资源的访问。

通过IAM，您可以在华为云帐号中给员工创建IAM用户，并授权控制他们对华为云资源 的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有OBS的使用权 限，但是不希望他们拥有删除OBS资源等高危操作的权限，那么您可以使用IAM为开发 人员创建用户，通过授予仅能使用OBS，但是不允许删除OBS资源的权限，控制他们 对OBS资源的使用范围。

如果华为云帐号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您 可以跳过本章节，不影响您使用OBS的其它功能。

IAM是华为云提供权限管理的基础服务，无需付费即可使用，您只需要为您帐号中的 资源进行付费。关于IAM的详细介绍，请参见《IAM产品介绍》。

OBS 权限

默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户 组授予策略和角色，才能使得用户组中的用户获得策略定义的权限，这一过程称为授 权。授权后，用户就可以基于被授予的权限对云服务进行操作。

OBS部署时不区分物理区域，为全局级服务。授权时，在全局级服务中设置权限，访 问OBS时，不需要切换区域。

根据授权精细程度分为角色和策略。

● 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该 机制以服务为粒度，提供有限的服务相关角色用于授权。由于华为云各服务之间 存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角 色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达 到企业对权限最小化的安全管控要求。

● 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资 源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业 对权限最小化的安全管控要求。例如：针对OBS服务，管理员能够控制IAM用户 仅能对某一个桶资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行 权限拆分，OBS支持的API授权项请参见权限和授权项说明。

文档版本 31 (2021-11-30) 版权所有 © 华为技术有限公司 36

说明

由于缓存的存在，对用户、用户组以及企业项目授予OBS相关的角色和策略后，大概需要等待 10~15分钟权限才能生效。

表7-1为OBS的所有系统权限。

表7-1 OBS 系统权限 系统角色/策略 名称

描述 类别 依赖关

系 Tenant

Administrator 拥有该权限的用户拥有除IAM外，其他所 有服务的所有执行权限。

系统角色 无

Tenant Guest 拥有该权限的用户拥有除IAM外，其他所 有服务的只读权限。

系统角色 无

OBSAdministrator 拥有该权限的用户为OBS管理员，可以对

帐号下的所有OBS资源执行任意操作。 系统策略 无 OBS Buckets

Viewer 拥有该权限的用户可以执行列举桶、获取 桶基本信息、获取桶元数据的操作。

系统角色 无

OBSReadOnlyAcces s

（obs:bucket:ListBucketVersions），才能在 控制台正常看到对象列表。

系统策略 无

OBSOperateAccess 拥有该权限的用户可以执行OBS

ReadOnlyAccess的所有操作，在此基础 上还可以执行上传对象、下载对象、删除 对象、获取对象ACL等对象基本操作。

说明

拥有该权限的用户如果在控制台上列举对象失 败，可能是因为桶中存在多版本对象。此时需 要额外授予该用户列举多版本对象的权限

（obs:bucket:ListBucketVersions），才能在 控制台正常看到对象列表。

系统策略 无

表7-2 OBS 操作与资源权限关系 操作名称 Tenant

Administ rator

Tenant

Guest OBS Administ rator

OBSBuckets Viewer

OBSReadOnl yAccess

OBSOperate

Access

列举桶 可以 可以 可以 可以 可以 可以

操作名称 Tenant Administ rator

Tenant

Guest OBS Administ rator

OBSBuckets Viewer

OBSReadOnl yAccess

OBSOperate

Access 管理对象

操作名称 Tenant Administ rator

Tenant

Guest OBS Administ rator

OBSBuckets Viewer

OBSReadOnl yAccess

OBSOperate

Access 获取指定

版本对象ACL

可以 可以 可以 不可以 不可以 可以

多段上传 可以 不可以 可以 不可以 不可以 可以 列举已上

传段

可以 可以 可以 不可以 不可以 可以

取消多段 上传任务

可以 不可以 可以 不可以 不可以 可以

在线解压 可以 不可以 不可以 不可以 不可以 不可以

OBS 资源权限管理

OBS桶和对象的权限可以通过IAM用户权限、桶策略和ACL共同控制。

更多关于OBS资源权限管理的内容请参见权限管理。

相关链接

● IAM产品介绍

● IAM基础概念

● 创建用户组、用户并授予OBS对象存储权限

● 细粒度策略支持的授权项

文档版本 31 (2021-11-30) 版权所有 © 华为技术有限公司 40

在文檔中 终端节点（Endpoint）和访问域名_对象存储服务 OBS_产品介绍_基本概念_华为云 (頁 32-47)