DigitalOcean Spaces 对象存储的单一存储桶访问密钥功能(Per-Bucket Access Keys)正式上线。该功能让你可以精准控制每个储存桶的访问权限和读写权限,从而更轻松地保障数据安全和管理你的数据。
什么是单一存储桶访问密钥功能?
借助单一存储桶访问密钥,你可以为每个存储桶分配具有只读或读写权限的特定访问权限。这使你能够根据不同的团队、应用程序和用例授予所需的精确访问权限。
举个例子,假设你经营了一个商业摄影公司,有三个关键存储桶:
- 原始照片:仅编辑团队可以访问。
- 最终照片:你的客户需要在门户网站进行只读访问。
- 营销资料:你的社交媒体发布接口需要访问此存储桶。
在单一存储桶访问密钥功能出现之前,管理这些存储桶的权限可能会变得很复杂。
现在,你可以为你的原始照片存储桶创建一个仅限编辑团队使用的访问密钥。 为最终照片存储桶生成一个只读密钥,供你的客户门户使用。 为你的社交媒体工具分配一个访问密钥,以便其与营销资料存储桶进行交互。
主要的优势
单一存储桶访问密钥为企业和开发者带来了诸多新的优势:
- 增强安全性:确保应用程序和团队成员只能访问他们需要的数据。
- 多用户环境:通过为每个用户设置特定的访问权限,更好地保护客户数据。
- 环境隔离:在同一账户内将开发、测试和生产环境可相对独立。
- 应用程序特定访问:通过将访问密钥的范围限制在单个存储桶内,降低被泄露访问密钥的影响。
- 安全文件共享:在不暴露存储桶其余内容的情况下共享特定文件。
安全最佳实践
这项新功能让实施最小权限原则变得更加简单,确保用户和应用程序仅获得他们执行任务所需的精确权限。以下是一些使用时的建议:
- 为不同的应用程序和团队成员使用独立的密钥。
- 尽可能选择只读密钥。
- 定期审查和更换您的访问密钥。
- 结合每个存储桶访问密钥与预签名URL,以允许特定用户的文件上传,而无需授予更多存储桶访问权限。
现在,在所有DigitalOcean区域都可以免费使用单一存储桶访问密钥功能。要开始使用:
- 访问DigitalOcean控制面板中的Spaces对象存储页面上的“访问密钥”选项卡(见下图)。
- 为特定存储桶创建具有只读或完全访问权限的密钥。
- 参考DigitalOcean英文官网的文档获取详细指导。
图:访问“访问密钥”选项卡以创建新的访问密钥
未来规划
我们正在不断努力改进和扩展每个存储桶访问密钥的功能。以下是即将推出的特性:
- API和CLI支持:到2025年中,您将能够通过DigitalOcean API和CLI(除了DigitalOcean控制面板)创建每个存储桶访问密钥。
- S3兼容存储桶策略支持:与S3兼容的存储桶策略(PutBucketPolicy)的兼容性正在开发中,预计将在2025年中期可用。
随着这些增强功能的陆续推出,你的使用体验会得到进一步提升,请关注这些更新。我们将会通过DigitalOcean官网和Digitalocean中国区独家战略合作伙伴卓普云微信公众号(卓普云 AI Droplet)及时更新。如果你需要进一步的技术支持,请联系我们。
