騰訊雲物件儲存COS安全方案介紹

對上雲企業來說，賬號安全和資源合理授權是構築立體防護體系的第一道門鎖。雲上資源管理的授權應該規避如下風險：

為員工建了子賬號，但是授權過大；

缺乏對使用帳號許可權的管理制度和流程；

沒有定期審計管理使用者的許可權和登入資訊；

賬戶分級：主賬號可以為所有合法的cam使用者，包括子賬號、協作者等，授予程式設計訪問和控制台訪問等不同的訪問形式；

許可權分級：則通過服務級、介面級、資源級等不同級別的授權，授權cam使用者可以在何種條件下通過何種的方式對何種資源進行何種操作；

首先，可以在主賬號裡建立子賬號，給子賬號分配主賬號下資源的管理許可權，而不需要分享主賬號的相關的身份憑證。

另外，可以針對不同的資源，授權給不同的人員不同的訪問許可權。例如，可以允許某些子賬號擁有某個cos儲存桶的讀許可權，而另外一些子賬號或者主賬號可以擁有某個cos儲存物件的寫許可權等。這裡的資源、訪問許可權、使用者都可以批量打包，從而做到精細化的許可權管理。

對於一些高危操作（如刪除資料）的許可權，也可剖離出來進行授權，僅允許使用者在控制台進行操作，同時通過開啟mfa校驗來進行二次認證。開啟mfa校驗後，使用者在執行此類高危操作時會觸發簡訊校驗碼進行校驗。

對於一些核心敏感資料，如金融交易資料、醫療影像資料等，可通過物件鎖定功能來防止檔案在上傳之後被刪除或者篡改。

配置物件鎖定功能後，在配置的有效期內，儲存桶內的所有資料將處於唯讀狀態，不可覆蓋或者刪除，此項操作對包括主賬號在內所有cam使用者及匿名使用者生效。

此項功能正在內測中，有需要的使用者請提交工單申請試用。