阿里云認(rèn)證資料：OSS數(shù)據(jù)安全

本文是OSS數(shù)據(jù)安全，將OSS數(shù)據(jù)安全的考點(diǎn)和考法做了一個(gè)梳理，希望能幫助到各位考生。OSS數(shù)據(jù)安全的考點(diǎn)和考法具體如下：

章節(jié)：OSS數(shù)據(jù)安全

考點(diǎn)：權(quán)限控制與鑒權(quán)

考法1：OSS支持的權(quán)限控制方式

1.OSS支持的權(quán)限控制：【RAM Policy（基于用戶的授權(quán)策略）】、【Bucket Policy（基于資源的授權(quán)策略）】、【Bucket ACL（Bucket級別的讀寫權(quán)限ACL）】、【Object ACL（Object級別的讀寫權(quán)限ACL）】。

考法2：ACL權(quán)限類型

1.Bucket ACL是Bucket級別的權(quán)限訪問控制。目前有三種訪問權(quán)限：public-read-write（公共讀寫）、public-read（公共讀、私有寫）和private（私有讀寫）。

考法3：Bucket支持的權(quán)限方式

1.可以對Bucket設(shè)置的權(quán)限：公共讀寫、公共讀和私有

考法4：Object支持的權(quán)限方式

1.Object ACL是Object級別的權(quán)限訪問控制。目前有四種訪問權(quán)限：private（私有讀寫）、public-read-write（公共讀寫）、public-read（公共讀、私有寫）、default（默認(rèn)權(quán)限）即繼承Bucket。

考法5：權(quán)限方式的描述

1. 公共讀允許其他用戶訪問就代表允許公共訪問此Bucket。 

考法6：權(quán)限判斷

1.Object為【公共讀寫資源】時(shí)，所有用戶擁有對該Object的讀寫權(quán)限，優(yōu)先執(zhí)行。

考法7：OSS與訪問控制RAM配合應(yīng)用

1.不同的應(yīng)用訪問不同的Bucket，權(quán)限不僅要有“允許”和“拒絕”，也要區(qū)分“讀”和“寫”。

考法8：鑒權(quán)方式

1.當(dāng)文件所在的Bucket的讀寫權(quán)限是“私有”時(shí)，OSS分享鏈接采用的安全機(jī)制是【在管理控制臺中獲取文件訪問URL時(shí)設(shè)置分享鏈接有效的時(shí)間，超過設(shè)定時(shí)間無法下載】。

考法9：鑒權(quán)

當(dāng)用戶訪問OSS出現(xiàn)錯(cuò)誤時(shí)，OSS會返回一個(gè)3xx、4xx或者5xx的HTTP狀態(tài)碼以及一個(gè)application/xml格式的消息體，便于用戶定位問題并解決問題?；诖?，您可以通過OSS返回的錯(cuò)誤信息在本文匹配解決方案。

考點(diǎn)：數(shù)據(jù)加密

考法1：數(shù)據(jù)加密方式

1.針對不同的應(yīng)用場景，OSS有如下兩種服務(wù)器端加密方式：1.使用KMS托管密鑰進(jìn)行加解密（SSE-KMS）；2.使用OSS完全托管加密（SSE-OSS）。

考點(diǎn)：版本控制

考法1：版本控制的特性

1.【版本控制】是針對存儲空間（Bucket）級別的數(shù)據(jù)保護(hù)功能。

2.開啟版本控制后，針對數(shù)據(jù)的覆蓋和刪除操作會以歷史版本的形式保存下來；如果錯(cuò)誤覆蓋或刪除文件（Object）后，能夠?qū)ucket中存儲的Object恢復(fù)至任意時(shí)刻的歷史版本。

3.同一Bucket中，版本控制與合規(guī)保留策略無法同時(shí)配置。

考點(diǎn)：合規(guī)保留策略

考法1：合規(guī)保留策略的設(shè)置

1.OSS提供強(qiáng)合規(guī)策略，可以針對Bucket設(shè)置【基于時(shí)間】的合規(guī)保留策略。

考點(diǎn)：防盜鏈

考法1：防盜鏈的機(jī)制

1.對象存儲OSS的防盜鏈?zhǔn)腔凇綡TTP或HTTPS header中包含的Referer字段】來實(shí)現(xiàn)的。

考法2：防盜鏈的特性

1.在支持通配符中，用星號*代替0個(gè)或多個(gè)字符；用問號？代替1個(gè)字符。

2.白名單為空時(shí)，不會檢查Referer字段是否為空；白名單不為空且設(shè)置了不允許Referer字段為空的規(guī)則時(shí)，則只有Referer屬于白名單的請求被允許，其他所有請求都會被拒絕；白名單不為空且設(shè)置了允許Referer字段為空的規(guī)則，則白名單為空的請求和符合白名單的請求會被允許，其他被拒絕。

考法3：防盜鏈的應(yīng)用場景

1.OSS Bucket屬性里的防盜鏈功能可以杜絕其他站點(diǎn)的下載。

考法4：防盜鏈的生效前提

1.用戶只有通過URL簽名或者匿名訪問Object時(shí)，才會做防盜鏈驗(yàn)證。請求Header中有Authorization字段時(shí)，不會做防盜鏈驗(yàn)證。