<p class="p">一般来讲，OBS 的访问者包括Bucket的所有者和第三方用户：</p> <ul class="ul" id="Storageaccess__ul_lzz_zbx_cvb"> <li class="li">Bucket的所有者通常是创建该Bucket的主账号。Bucket的所有者默认具有该Bucket的全部权限。</li> <li class="li">第三方用户是指得到授权、可以访问Bucket的用户（非所有者）。通过访问控制服务（RAM）可以授予第三方用户不同权限。若被授予管理权限(Administrator）或者OBSFullAccess权限，用户可以进行任何Bucket访问操作；若被授予OBSReadOnlyAccess权限，则只能进行Bucket读操作；如果系统自带的RAM权限策略不能满足需求，还可以在RAM中自定义更细粒度的权限策略。</li> </ul> <p class="p"><strong class="ph b">匿名访问和带签名访问</strong></p> <p class="p">匿名访问是指在请求的HTTP Header中不需提供任何与身份相关的信息。带签名访问是指在请求的HTTP Header中需提供AccessKey和SecretKey等相关信息。OBS 通过验证 AccessKey 和SecretKey来确认请求者的身份。AccessKey用于标识用户，SecretKey是用于加密签名字符串和 OBS 用来验证签名字符串的密钥，其中 SecretKey必须保密。对于 OBS 来说，该签名可以是Bucket 的所有者（主账户或子账户）申请的 AK、SK，及被 Bucket 的所有者通过 RAM 授权给第三方用户的 AK、SK。您可以在OBS的控制台中查看存储桶的AK和SK，具体方式请参考<a class="xref" href="/ssr/help/storage/obs/Operationguide.managespacestorage.Querystoragespaceinformation" target="_blank">查询存储空间信息</a>。</p> <p class="p">如何控制访问Bucket中的Object，具体方法如下：</p> <ol class="ol" id="Storageaccess__ol_mzz_zbx_cvb"> <li class="li">验证Bucket的读写权限。Bucket的读写权限设置可以有以下几类：<ul class="ul" id="Storageaccess__ul_nzz_zbx_cvb"> <li class="li">私有：私有是Bucket的默认读写权限，是最安全的。Bucket的所有者或被授权的第三方用户通过身份验证后才能操作（读、写、删等）该Bucket中的对象。未得到授权的其他访问不能访问该Bucket中的对象。</li> <li class="li">公共读（私有写）：任何人（包括匿名访问者）都可以读该Bucket中的对象。只有通过身份验证的访问者才能操作（包括读、写、删等）该Bucket中的对象。<div class="note warning note_warning"><span class="note__title">警告：</span> 由于任何人都可以访问该Bucket中的对象，因此，可能会造成数据泄露及费用激增。请谨慎操作。</div></li> <li class="li">公共读写：任何人（包括匿名访问者）都能操作（包括读、写、删等）该Bucket中的对象。<div class="note warning note_warning"><span class="note__title">警告：</span> 由于任何人都可以访问该Bucket内的对象，并且还可以写入数据。可能会被人恶意篡改对象数据，侵害您的合法权 益。 除特殊场景外，不建议您使用公共读写权限。</div></li> </ul></li> <li class="li"> <p class="p">访问者身份鉴权</p> <p class="p">访问者身份鉴权是指根据HTTP请求的 Header中的签名信息鉴别访问者的权限。只有鉴权通过才允许相应访问请求。OBS的访问控制流程如下图示。OBS接收到访问请求后，先判断Bucket的读写权限：</p> <ul class="ul" id="Storageaccess__ul_mmf_w2x_cvb"> <li class="li">若该Bucket的读写权限为“私有”，或者该Bucket的读写权限是“公共读”且访问请求是写操作，则会进行身份鉴权。通过身份鉴权之后，才执行该访问请求。</li> <li class="li">若该Bucket的读写权限是“公共读”且访问请求是读操作，或者该Bucket的读写权限是”公共读写”，则不进行身份鉴权，直接执行该请求。</li> </ul> <div class="p"> <img class="image" id="Storageaccess__image_bzw_4hx_cvb" src="https://obs-cn-shanghai.fincloud.pinganyun.com/pacloud/20220910164636-183b001e9e36.png" width="800"> </div> </li> </ol>