OBS支持通过AK/SK认证方式进行认证鉴权,即使用Access Key ID(AK)/Secret Access Key(SK)加密的方法来验证某个请求发送者身份。当您使用OBS提供的API进 行二次开发并通过AK/SK认证方式完成认证鉴权时,需要按照OBS定义的签名算法来计 算签名并添加到请求中。
文档版本 31 (2021-11-30) 版权所有 © 华为技术有限公司 46
OBS支持使用永久AK/SK鉴权,也支持通过临时AK/SK和securitytoken进行认证鉴权。
永久AK/SK
用户可以在“我的凭证”页面创建永久AK/SK。
● Access Key Id(AK):访问密钥ID。与私有访问密钥关联的唯一标识符;访问密 钥ID和私有访问密钥一起使用,对请求进行加密签名。
● Secret Access Key(SK):与访问密钥ID结合使用的私有访问密钥,对请求进行 加密签名,可标识发送方,并防止请求被修改。
临时AK/SK
临时AK/SK和securitytoken是系统颁发给用户的临时访问令牌,有效期范围为15分钟 至24小时,过期后需要重新获取。临时AK/SK和securitytoken遵循权限最小化原则,
可应用于临时访问OBS。如果未使用securitytoken,会返回403错误。
● 临时Access Key Id:临时访问密钥ID。与私有访问密钥关联的唯一标识符;访问 密钥ID和私有访问密钥一起使用,对请求进行加密签名。
● 临时Secret Access Key:与临时访问密钥ID结合使用的临时私有访问密钥,对请 求进行加密签名,可标识发送方,并防止请求被修改。
● securitytoken:与临时访问密钥ID和临时私有访问密钥结合使用,可以访问指定 帐号下所有资源。
当使用如下工具访问OBS资源时,需配置AK/SK用于生成鉴权信息进行安全认证。
表9-1 OBS 资源管理工具
工具 AK/SK配置方式
OBS Browser+ 在配置登录帐号时配置AK和SK,详情请参见登录OBS Browser +。
obsutil 在初始化配置时配置AK和SK,详情请参见初始化配置。
obsfs 在初始化配置时配置AK和SK,详情请参见初始化配置。
SDK 在初始化阶段设置AK和SK。详情请见SDK参考。
API 在计算签名时添加AK和SK到请求中。详情请参见用户签名验 证。
访问域名:OBS会为每一个桶分配默认的访问域名。访问域名是桶在互联网中的域名 地址,可应用于直接通过域名访问桶的场景,比如:云应用开发、数据分享等。
OBS桶访问域名的结构为:BucketName.Endpoint。其中BucketName为桶名称,
Endpoint为桶所在区域的终端节点(区域域名)。
除了桶访问域名外,表9-2列出了与OBS相关的其他域名的结构、协议类型等信息,以 便您全面地了解OBS域名。
表9-2 OBS 域名组成规则
Endpoint
【示例】
obs.cn-north-4.myhuaweicloud.com
不同的区域分配各自对应的域 名,即各区域的终端节点。
各区域的终端节点详情请参见地 区和终端节点。
OBS每个区域对应一个
Endpoint,不区分内外网。当配 置了内网访问之后,即可通过内 网访问OBS。
HTTPS HTTP
桶访问 域名
【结构】
BucketName.Endpoint
【示例】
bucketname.obs.cn-north-4.myhuaweicloud.com
桶创建成功后,可以使用桶访问 域名来访问桶。您可以根据访问 域名结构自行拼接,也可以通过 在OBS管理控制台或OBS Browser+上查看桶基本信息获 取。
HTTPS HTTP
对象访
问域名 【结构】
BucketName.Endpoint/
ObjectName
【示例】
bucketname.obs.cn-north-4.myhuaweicloud.com/
object.txt
对象上传到桶中后,可以使用对 象访问域名来访问桶中的指定对 象。您可以根据访问域名结构自 行拼接,也可以通过在OBS管理 控制台或OBS Browser+上查看 对象属性获取,或在SDK上通过 调用GetObjectUrl接口获取。
HTTPS
BucketName.obs-website.Endpoint
【示例】
bucketname.obs-website.cn-north-4.myhuaweicloud.com
桶配置为静态网站托管时,桶的
9.7 区域和可用区
什么是区域、可用区?
我们用区域和可用区来描述数据中心的位置,您可以在特定的区域、可用区创建资 源。
● 区域(Region):从地理位置和网络时延维度划分,同一个Region内共享弹性计 算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region分为 通用Region和专属Region,通用Region指面向公共租户提供通用云服务的 Region;专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用 Region。
● 可用区(AZ,Availability Zone):一个AZ是一个或多个物理数据中心的集合,
有独立的风火水电,AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。
一个Region中的多个AZ间通过高速光纤相连,以满足用户跨AZ构建高可用性系统 的需求。
图9-3阐明了区域和可用区之间的关系。
图9-3 区域和可用区
目前,华为云已在全球多个地域开放云服务,您可以根据需求选择适合自己的区域和 可用区。更多信息请参见华为云全球站点。
如何选择区域?
选择区域时,您需要考虑以下几个因素:
● 资源的价格
不同区域的资源价格可能有差异,请参见华为云服务价格详情。
如何选择可用区?
是否将资源放在同一可用区内,主要取决于您对容灾能力和网络时延的要求。
● 如果您的应用需要较高的容灾能力,建议您将资源部署在同一区域的不同可用区 内。
● 如果您的应用要求实例之间的网络延时较低,则建议您将资源创建在同一可用区 内。
区域和终端节点
当您通过API使用资源时,您必须指定其区域终端节点。有关华为云的区域和终端节点 的更多信息,请参阅地区和终端节点。
文档版本 31 (2021-11-30) 版权所有 © 华为技术有限公司 50
10 修订记录
发布日期 修订记录
2021-11-30 第三十一次正式发布。
本次更新说明如下:
● 新增OBS安全相关介绍。
2020-10-13 第三十次正式发布。
本次更新说明如下:
● 新增使用限制章节。
2020-09-10 第二十九次正式发布。
本次更新说明如下:
● 新增Data+特性相关说明。
2020-09-05 第二十八次正式发布。
本次更新说明如下:
● 新增深度归档存储相关说明。
2020-06-30 第二十七次正式发布。
本次更新说明如下:
● 新增数据回源特性相关说明。
2020-06-16 第二十六次正式发布。
发布日期 修订记录
2019-10-17 第二十三次正式发布。
本次更新说明如下:
● 丰富了“什么是对象存储服务”、“产品优势”、“应用场景”
和“与其他服务的关系”的内容。
● 增加了功能概览。
● 增加了终端节点(Endpoint)和访问域名的基本概念。
2019-08-15 第二十二次正式发布。
本次更新说明如下:
● 增加了“区域和可用区”的概念介绍。
● 增加了并行文件系统相关的描述。
2019-05-22 第二十一次正式发布。
本次更新说明如下:
● 更新了“权限管理”描述。
2019-03-18 第二十次正式发布。
本次更新说明如下:
● “用户权限”新增了“OBS ReadOnlyAccess”权限。
2019-02-27 第十九次正式发布。
本次更新说明如下:
● 更新了“用户权限”。
2019-01-29 第十八次正式发布。
本次更新说明如下:
● 增加了专属对象存储介绍。
● 更新了“文档导读”。
2018-12-21 第十七次正式发布。
本次更新说明如下:
● 更新了用户权限描述。
2018-11-30 第十六次正式发布。
本次更新说明如下:
● 更新了“与其他服务的关系”。
● 更新了“文档导读”。
2018-10-31 第十五次正式发布。
本次更新说明如下:
● 更新了OBS的应用场景。
文档版本 31 (2021-11-30) 版权所有 © 华为技术有限公司 52
发布日期 修订记录
2018-09-21 第十四次正式发布。
本次更新说明如下:
● 增加了OBS使用方式描述。
2018-08-31 第十三次正式发布。
本次更新说明如下:
● 更新了用户权限描述。
2018-07-30 第十二次正式发布。
本次更新说明如下:
● 增加了用户权限描述。
2018-07-15 第十一次正式发布。
本次更新说明如下:
● 增加了云审计功能。
2018-06-30 第十次正式发布。
本次更新说明如下:
● 增加了Tag功能。
● 文档结构调整,“用户权限”章节调整到“控制台指南”。
2018-06-08 第九次正式发布。
本次更新说明如下:
● 增加了Cloud Eye管理控制台监控指标。
2018-05-31 第八次正式发布。
本次更新说明如下:
● 增加了自定义域名绑定功能。
2018-04-30 第七次正式发布。
本次更新说明如下:
● 增加了桶级监控。
2018-04-15 第六次正式发布。
本次更新说明如下:
发布日期 修订记录
2017-12-20 第四次正式发布。
本次更新说明如下:
● 在《控制台指南》中增加如下内容:
– “配置事件通知”中增加多项目。
– “出现“客户端与服务器的时间相差15分钟”的报错”章节。
● 创建桶时增加了一键式设置桶策略功能。
2017-10-30 第三次正式发布。
本次更新说明如下:
● 在《控制台指南》的“查看桶的基本信息”中增加“Endpoint”
和“访问域名”。
● 在《控制台指南》的“通过对象(URL)访问对象”中修改URL 的格式。
● 在《控制台指南》的“配置桶策略”中增加了一键式配置通用策 略。
● 在《控制台指南》的“异常处理”中增加“配置事件通知失败”
章节。
● 在《购买指南》中删除余额小于100的限制。
● 在《快速入门》的“注册云服务帐号”中删除“隐私保护”。
2017-09-28 第二次正式发布。
本次更新说明如下:
● 在《产品简介》中增加“文档导读”。
● 在《快速入门》中增加“相关操作”。
● 在《控制台指南》中修改“配置桶策略”章节、新增“动作和条 件的详细解释”章节。
2017-08-20 第一次正式发布。
文档版本 31 (2021-11-30) 版权所有 © 华为技术有限公司 54