阿里云认证资料：OSS数据安全

本文是OSS数据安全，将OSS数据安全的考点和考法做了一个梳理，希望能帮助到各位考生。OSS数据安全的考点和考法具体如下：

章节：OSS数据安全

考点：权限控制与鉴权

考法1：OSS支持的权限控制方式

1.OSS支持的权限控制：【RAM Policy（基于用户的授权策略）】、【Bucket Policy（基于资源的授权策略）】、【Bucket ACL（Bucket级别的读写权限ACL）】、【Object ACL（Object级别的读写权限ACL）】。

考法2：ACL权限类型

1.Bucket ACL是Bucket级别的权限访问控制。目前有三种访问权限：public-read-write（公共读写）、public-read（公共读、私有写）和private（私有读写）。

考法3：Bucket支持的权限方式

1.可以对Bucket设置的权限：公共读写、公共读和私有

考法4：Object支持的权限方式

1.Object ACL是Object级别的权限访问控制。目前有四种访问权限：private（私有读写）、public-read-write（公共读写）、public-read（公共读、私有写）、default（默认权限）即继承Bucket。

考法5：权限方式的描述

1. 公共读允许其他用户访问就代表允许公共访问此Bucket。 

考法6：权限判断

1.Object为【公共读写资源】时，所有用户拥有对该Object的读写权限，优先执行。

考法7：OSS与访问控制RAM配合应用

1.不同的应用访问不同的Bucket，权限不仅要有“允许”和“拒绝”，也要区分“读”和“写”。

考法8：鉴权方式

1.当文件所在的Bucket的读写权限是“私有”时，OSS分享链接采用的安全机制是【在管理控制台中获取文件访问URL时设置分享链接有效的时间，超过设定时间无法下载】。

考法9：鉴权

当用户访问OSS出现错误时，OSS会返回一个3xx、4xx或者5xx的HTTP状态码以及一个application/xml格式的消息体，便于用户定位问题并解决问题。基于此，您可以通过OSS返回的错误信息在本文匹配解决方案。

考点：数据加密

考法1：数据加密方式

1.针对不同的应用场景，OSS有如下两种服务器端加密方式：1.使用KMS托管密钥进行加解密（SSE-KMS）；2.使用OSS完全托管加密（SSE-OSS）。

考点：版本控制

考法1：版本控制的特性

1.【版本控制】是针对存储空间（Bucket）级别的数据保护功能。

2.开启版本控制后，针对数据的覆盖和删除操作会以历史版本的形式保存下来；如果错误覆盖或删除文件（Object）后，能够将Bucket中存储的Object恢复至任意时刻的历史版本。

3.同一Bucket中，版本控制与合规保留策略无法同时配置。

考点：合规保留策略

考法1：合规保留策略的设置

1.OSS提供强合规策略，可以针对Bucket设置【基于时间】的合规保留策略。

考点：防盗链

考法1：防盗链的机制

1.对象存储OSS的防盗链是基于【HTTP或HTTPS header中包含的Referer字段】来实现的。

考法2：防盗链的特性

1.在支持通配符中，用星号*代替0个或多个字符；用问号？代替1个字符。

2.白名单为空时，不会检查Referer字段是否为空；白名单不为空且设置了不允许Referer字段为空的规则时，则只有Referer属于白名单的请求被允许，其他所有请求都会被拒绝；白名单不为空且设置了允许Referer字段为空的规则，则白名单为空的请求和符合白名单的请求会被允许，其他被拒绝。

考法3：防盗链的应用场景

1.OSS Bucket属性里的防盗链功能可以杜绝其他站点的下载。

考法4：防盗链的生效前提

1.用户只有通过URL签名或者匿名访问Object时，才会做防盗链验证。请求Header中有Authorization字段时，不会做防盗链验证。