云計(jì)算技術(shù)

單元6網(wǎng)絡(luò)文件系統(tǒng)、對(duì)象存儲(chǔ)服務(wù)單元概述

本單元將介紹亞馬遜云科技的兩個(gè)存儲(chǔ)服務(wù)的使用：網(wǎng)絡(luò)文件系統(tǒng)服務(wù)AmazonEFSAmazonElasticFileSystem提供簡(jiǎn)單、可擴(kuò)展、完全托管的彈性NFS（Liunx系統(tǒng)之間常用的文件共享方式）文件系統(tǒng)可以讓亞馬遜云科技上的云主機(jī)（實(shí)例）、甚至本地的主機(jī)進(jìn)行掛載對(duì)象存儲(chǔ)服務(wù)AmazonS3AmazonSimpleStorageService是一種對(duì)象存儲(chǔ)服務(wù)（OBS，ObjectStorageService）具有高可擴(kuò)展性、數(shù)據(jù)可用性、安全性和性能各種應(yīng)用可以使用AmazonS3來存儲(chǔ)數(shù)據(jù)，容量幾乎不限學(xué)習(xí)目標(biāo)知識(shí)點(diǎn)：什么是AmazonEFSAmazonEFS的特點(diǎn)什么是對(duì)象存儲(chǔ)（OBS）存儲(chǔ)桶、對(duì)象的概念對(duì)象存儲(chǔ)的架構(gòu)對(duì)象的版本控制概念存儲(chǔ)桶的生命周期概念、存儲(chǔ)的類型存儲(chǔ)桶的控制列表(ACL)對(duì)象的控制列表(ACL)存儲(chǔ)桶策略技能點(diǎn)：創(chuàng)建AmazonEFS在Linux上手動(dòng)掛載AmazonEFS在Linux上自動(dòng)掛載AmazonEFS創(chuàng)建存儲(chǔ)桶、在存儲(chǔ)桶創(chuàng)建文件夾和上傳對(duì)象訪問對(duì)象的前版本，使用對(duì)象的版本恢復(fù)刪除的對(duì)象管理存儲(chǔ)桶的生命周期使用對(duì)象的控制列表(ACL)控制對(duì)象的訪問使用存儲(chǔ)桶策略控制對(duì)象的訪問利用S3托管靜態(tài)網(wǎng)站

項(xiàng)目1使用關(guān)系型數(shù)據(jù)庫服務(wù)項(xiàng)目描述本項(xiàng)目將在AmazonWebServices中創(chuàng)建一個(gè)文件系統(tǒng)，該文件系統(tǒng)有兩個(gè)子目錄，分別針對(duì)兩個(gè)子目錄創(chuàng)建接入點(diǎn)；把文件系統(tǒng)根目錄及接入點(diǎn)掛載到Linux實(shí)例Linux系統(tǒng)之間的文件共享經(jīng)常是使用NFS（NetworkFileSystem）服務(wù)AmazonWebServices提供了云上的NFS，稱為AmazonElasticFileSystem任務(wù)1知識(shí)預(yù)備與方案設(shè)計(jì)項(xiàng)目1使用關(guān)系型數(shù)據(jù)庫服務(wù)1.什么是AmazonEFS服務(wù)AmazonEFS提供彈性NFS文件系統(tǒng)，可與云服務(wù)和本地資源結(jié)合使用可不中斷應(yīng)用程序的情況下按需擴(kuò)展至PB級(jí)提供對(duì)數(shù)千個(gè)EC2實(shí)例的大規(guī)模并行共享訪問，能夠以低延遲實(shí)現(xiàn)高水平的聚合吞吐量和IOPS2.AmazonEFS服務(wù)特點(diǎn)AmazonEFS服務(wù)使用簡(jiǎn)單、可擴(kuò)展、完全托管AmazonEFS支持身份驗(yàn)證、授權(quán)和加密功能AmazonEFS支持兩種形式的加密：傳輸中加密和靜態(tài)加密AmazonEFS提供兩種存儲(chǔ)類別：Standard和InfrequentAccessAmazonEFS支持NFSv4.1和NFSv4.0協(xié)議項(xiàng)目1使用關(guān)系型數(shù)據(jù)庫服務(wù)3.方案設(shè)計(jì)本項(xiàng)目在中國(guó)（北京）區(qū)域（cn-north-1）創(chuàng)建VPC，名稱為MyVPCLinux實(shí)例位于Public-net-2子網(wǎng)，用于測(cè)試連接到EFS創(chuàng)建EFS文件系統(tǒng)，名為EFS-SZ，啟用靜態(tài)加密，性能模式為：一般用途在Linux實(shí)例上掛載該文件系統(tǒng)，并創(chuàng)建兩個(gè)子目錄dir-1、dir-2在Linux實(shí)例上實(shí)現(xiàn)開機(jī)自動(dòng)掛載接入點(diǎn)任務(wù)2創(chuàng)建彈性文件系統(tǒng)項(xiàng)目1使用關(guān)系型數(shù)據(jù)庫服務(wù)1.創(chuàng)建VPC參見學(xué)習(xí)單元3的步驟創(chuàng)建MyVPC注意：在該VPC務(wù)必要啟用“DNS主機(jī)名”和“DNS解析”2.創(chuàng)建EC2參見學(xué)習(xí)單元2的步驟創(chuàng)建Linux實(shí)例，并且能從管理員計(jì)算機(jī)登錄到該實(shí)例Linux實(shí)例的AMI為“AmazonLinux2AMI(HVM),SSDVolumeType”實(shí)例類型為t2.micro，連接在Public-net-2網(wǎng)絡(luò)上自動(dòng)分配公有IP，安全組允許TCP22流量（即SSH流量）通過項(xiàng)目1使用關(guān)系型數(shù)據(jù)庫服務(wù)3.創(chuàng)建安全組參見單元3的步驟，在MyVPC上創(chuàng)建安全組SecGRPPermitNFS該安全組將允許/16網(wǎng)絡(luò)（即MyVPC）主機(jī)訪問EFSEFS使用的是NFS協(xié)議項(xiàng)目1使用關(guān)系型數(shù)據(jù)庫服務(wù)4.創(chuàng)建文件系統(tǒng)（1）準(zhǔn)備好VPC和安全組后，可以開始創(chuàng)建文件系統(tǒng)了。在AmazonWebServices控制臺(tái)，單擊“服務(wù)”→“存儲(chǔ)和內(nèi)容分發(fā)”→“EFS”→“文件系統(tǒng)”鏈接，單擊“創(chuàng)建文件系統(tǒng)”按鈕，在彈出窗口單擊“自定義”按鈕展開窗口設(shè)置：名稱；啟用自動(dòng)備份生命周期管理；性能模式吞吐量模式；啟用靜態(tài)數(shù)據(jù)的加密單擊“下一步”按鈕項(xiàng)目1使用關(guān)系型數(shù)據(jù)庫服務(wù)（2）在VPC列表選中之前創(chuàng)建好的“MyVPC”系統(tǒng)會(huì)自動(dòng)每個(gè)可用區(qū)“cn-north-1a”、“cn-north-1b”添加掛載目標(biāo)強(qiáng)烈建議在VPC的每個(gè)可用區(qū)都添加一個(gè)掛載點(diǎn)，避免客戶端跨可用區(qū)掛載EFS可用區(qū)“cn-north-1a”的子網(wǎng)選擇“Private-net-1”、“Private-net-2”安全組選擇“SecGRPPermitNFS”。單擊“下一步”按鈕項(xiàng)目1使用關(guān)系型數(shù)據(jù)庫服務(wù)（3）文件系統(tǒng)策略用來控制EFS客戶端的訪問權(quán)限，單擊“下一步”按鈕在下一窗口，確認(rèn)以上設(shè)置的參數(shù)無誤后，單擊“創(chuàng)建”按鈕，注意文件系統(tǒng)的ID，稍后需要用到“阻止根訪問”：阻止根用戶（root）訪問EFS“強(qiáng)制執(zhí)行只讀訪問”：只能讀取EFS“對(duì)所有客戶端強(qiáng)制執(zhí)行傳輸中加密”：EFS客戶和EFS之間加密傳輸可以手工在策略編輯器{JSON}窗口里創(chuàng)建策略：elasticfilesystem:ClientMount提供對(duì)文件系統(tǒng)的只讀訪問權(quán)限elasticfilesystem:ClientMount提供對(duì)文件系統(tǒng)的只讀訪問權(quán)限elasticfilesystem:ClientRootAccess提供對(duì)文件系統(tǒng)的根的訪問權(quán)限elasticfilesystem:ClientWrite提供對(duì)文件系統(tǒng)的寫入權(quán)限項(xiàng)目1使用關(guān)系型數(shù)據(jù)庫服務(wù)（4）單擊列表中的文件系統(tǒng)，可以看到文件系統(tǒng)的詳細(xì)信息單擊“連接”按鈕，可以看到如何在Linux掛載文件系統(tǒng)的方法項(xiàng)目1使用關(guān)系型數(shù)據(jù)庫服務(wù)任務(wù)3在Linux上掛載彈性文件系統(tǒng)1.在Linux上使用EFS掛載幫助程序掛載文件系統(tǒng)（1）遠(yuǎn)程登錄到Linux實(shí)例（2）安裝掛載幫助程序amazon-efs-utils軟件包在Linux上執(zhí)行以下命令：sudoyuminstall-yamazon-efs-utils（3）創(chuàng)建掛載點(diǎn)執(zhí)行以下命令：sudomkdir/efs（4）掛載EFS執(zhí)行以下命令，其中以“fs-7eda6fe3”是文件系統(tǒng)的IDsudomount-tefs-otlsfs-7eda6fe3://efs項(xiàng)目1使用關(guān)系型數(shù)據(jù)庫服務(wù)（5）測(cè)試執(zhí)行以下命令，往/efs目錄寫入文件，并創(chuàng)建兩個(gè)子目錄供后續(xù)步驟使用cd/efssudotouchtest.txtsudomkdirdir-1sudomkdirdir-2（6）卸載目錄執(zhí)行以下命令可以卸載cd/sudoumount/efs項(xiàng)目1使用關(guān)系型數(shù)據(jù)庫服務(wù)2.使用接入點(diǎn)掛載文件系統(tǒng)（1）單擊“接入點(diǎn)”→“創(chuàng)建接入點(diǎn)”，根目錄路徑為EFS上的/dir-1其他選項(xiàng)保持默認(rèn)值，單擊“創(chuàng)建接入點(diǎn)”按鈕為創(chuàng)建好的接入點(diǎn)，注意接入點(diǎn)的ID以同樣方式，創(chuàng)建accesspoint-2，根目錄為/dir-2項(xiàng)目1使用關(guān)系型數(shù)據(jù)庫服務(wù)（2）使用接入點(diǎn)掛載如下命令，其中“fsap-04d1be279f5fa1a0f”是接入點(diǎn)的ID

sudomount-tefs-otls,accesspoint=fsap-04d1be279f5fa1a0ffs-7eda6fe3:/efs（3）Linux開機(jī)自動(dòng)掛載要實(shí)現(xiàn)自動(dòng)掛載，需要在/etc/fstab配置文件加如以下行：fs-7eda6fe3/efsefs_netdev,noresvport,tls,accesspoint=fsap-04d1be279f5fa1a0f00重新啟動(dòng)系統(tǒng)測(cè)試項(xiàng)目2使用對(duì)象存儲(chǔ)服務(wù)項(xiàng)目描述本項(xiàng)目將創(chuàng)建兩個(gè)存儲(chǔ)桶，分別用以存放不能公開訪問的文件和托管企業(yè)的靜態(tài)網(wǎng)站AmazonS3(AmazonSimpleStorageService)，是一種對(duì)象存儲(chǔ)服務(wù)，提供行業(yè)領(lǐng)先的可擴(kuò)展性、數(shù)據(jù)可用性、安全性和性能規(guī)模和行業(yè)的客戶都可以使用AmazonS3來存儲(chǔ)并保護(hù)各種用例（如數(shù)據(jù)湖、網(wǎng)站、移動(dòng)應(yīng)用程序、備份和還原、存檔、企業(yè)應(yīng)用程序、IoT設(shè)備和大數(shù)據(jù)分析）的數(shù)據(jù)，容量不限任務(wù)1知識(shí)預(yù)備與方案設(shè)計(jì)項(xiàng)目2使用對(duì)象存儲(chǔ)服務(wù)1.對(duì)象存儲(chǔ)對(duì)象存儲(chǔ)服務(wù)是一個(gè)基于對(duì)象的海量存儲(chǔ)服務(wù)，為客戶提供海量、安全、高可靠、低成本的數(shù)據(jù)存儲(chǔ)能力對(duì)象存儲(chǔ)系統(tǒng)和單個(gè)桶（Bucket）都沒有總數(shù)據(jù)容量和對(duì)象/文件數(shù)量的限制對(duì)象存儲(chǔ)是一項(xiàng)面向Internet訪問的服務(wù)，用戶可以接到Internet的電腦，通過控制臺(tái)或各種工具訪問和管理存儲(chǔ)在對(duì)象存儲(chǔ)中的數(shù)據(jù)對(duì)象存儲(chǔ)支持SDK和對(duì)象存儲(chǔ)API接口，可使用戶方便管理自己存儲(chǔ)在對(duì)象存儲(chǔ)上的數(shù)據(jù)，以及開發(fā)多種類型的上層業(yè)務(wù)應(yīng)用項(xiàng)目2使用對(duì)象存儲(chǔ)服務(wù)1.對(duì)象存儲(chǔ)對(duì)象（Object）是AmazonS3中存儲(chǔ)的基礎(chǔ)實(shí)體。對(duì)象由對(duì)象數(shù)據(jù)（Data）和元數(shù)據(jù)（Metadata）組成。數(shù)據(jù)部分對(duì)AmazonS3是不透明的元數(shù)據(jù)是一組描述對(duì)象的名稱--值對(duì)，其中包括一些默認(rèn)元數(shù)據(jù)（如上次修改日期）和標(biāo)準(zhǔn)HTTP元數(shù)據(jù)（如Content-Type），用戶還可以在存儲(chǔ)對(duì)象時(shí)指定自定義元數(shù)據(jù)項(xiàng)目2使用對(duì)象存儲(chǔ)服務(wù)2.對(duì)象存儲(chǔ)架構(gòu)與FAT32、NTFS之類的文件系統(tǒng)相比，對(duì)象存儲(chǔ)將元數(shù)據(jù)（Metadata）獨(dú)立了出來，元數(shù)據(jù)里寫明了數(shù)據(jù)的所有屬性，包括打散后的每個(gè)塊所存儲(chǔ)的位置。對(duì)象存儲(chǔ)將元數(shù)據(jù)和數(shù)據(jù)進(jìn)行了分開存儲(chǔ)，這樣只要讀取到了元數(shù)據(jù)，就能找到所有的數(shù)據(jù)塊，并可以同時(shí)對(duì)數(shù)據(jù)塊進(jìn)行讀取，大大提高了數(shù)據(jù)處理的效率項(xiàng)目2使用對(duì)象存儲(chǔ)服務(wù)2.對(duì)象存儲(chǔ)架構(gòu)MDS控制Client與OSD對(duì)象的交互，主要提供以下幾個(gè)功能：（1）對(duì)象存儲(chǔ)訪問（2）文件和目錄訪問管理（3）ClientCache一致性O(shè)SD提供三個(gè)主要功能：（1）數(shù)據(jù)存儲(chǔ)（2）優(yōu)化的數(shù)據(jù)分布（3）每個(gè)對(duì)象元數(shù)據(jù)的管理項(xiàng)目2使用對(duì)象存儲(chǔ)服務(wù)3.方案設(shè)計(jì)本項(xiàng)目在區(qū)域（cn-north-1）創(chuàng)建兩個(gè)存儲(chǔ)桶，szpt20210403和szptweb存儲(chǔ)桶szpt20210403存放不能公開訪問的文件，啟用版本控制、服務(wù)器端加密創(chuàng)建生命周期規(guī)則，把180天以上的非當(dāng)前版本的對(duì)象轉(zhuǎn)儲(chǔ)到“智能分層”配置存儲(chǔ)桶訪問控制列表(ACL)，阻止所有公開訪問創(chuàng)建存儲(chǔ)桶策略，授權(quán)新建用戶zhang_ning可以從存儲(chǔ)桶下載對(duì)象szptweb用以托管靜態(tài)的網(wǎng)站，需公開訪問對(duì)象存儲(chǔ)的優(yōu)點(diǎn)：（1）容量無限大。對(duì)象存儲(chǔ)的容量是EB級(jí)以上（1EB=1048576TB）（2）數(shù)據(jù)安全可靠。數(shù)據(jù)持久性可以達(dá)到99.999999999%（一共11個(gè)9）（3）使用方便。對(duì)象存儲(chǔ)是一個(gè)非常方便的存儲(chǔ)方式任務(wù)2使用存儲(chǔ)桶項(xiàng)目2使用對(duì)象存儲(chǔ)服務(wù)1.創(chuàng)建存儲(chǔ)桶（1）以管理員身份登錄AmazonWebServices控制臺(tái)，單擊“服務(wù)”→“存儲(chǔ)和內(nèi)容分發(fā)”→“S3”→“存儲(chǔ)桶”鏈接→“創(chuàng)建存儲(chǔ)桶”按鈕。輸入存儲(chǔ)桶的名稱，須保證名稱全球唯一；選擇存儲(chǔ)桶的區(qū)域，區(qū)域一旦選定不可更改項(xiàng)目2使用對(duì)象存儲(chǔ)服務(wù)（2）保持“阻止所有公開訪問”，則阻止對(duì)此存儲(chǔ)桶及其對(duì)象的公開訪問。版本控制是將某一對(duì)象的多個(gè)版本保留在同一存儲(chǔ)桶中的一種方法，用戶可以使用版本控制來保留、檢索以及還原存儲(chǔ)在AmazonS3存儲(chǔ)桶中每個(gè)對(duì)象的每個(gè)版本。默認(rèn)時(shí)存儲(chǔ)桶的版本控制是禁用的，本例選擇“啟用”項(xiàng)目2使用對(duì)象存儲(chǔ)服務(wù)（3）單擊“添加標(biāo)簽”按鈕，可以為存儲(chǔ)桶添加標(biāo)簽來跟蹤存儲(chǔ)成本或其他標(biāo)準(zhǔn)。如果選擇“啟用”服務(wù)器端加密，并選擇“加密密鑰類型”，則存儲(chǔ)桶中存儲(chǔ)對(duì)象時(shí)將加密對(duì)象（4）單擊“創(chuàng)建存儲(chǔ)桶”按鈕，完成創(chuàng)建。則在存儲(chǔ)桶列表中可以看到新創(chuàng)建的存儲(chǔ)桶項(xiàng)目2使用對(duì)象存儲(chǔ)服務(wù)2.存儲(chǔ)桶的基本使用（1）創(chuàng)建文件夾。單擊新創(chuàng)建的存儲(chǔ)桶szpt20210403鏈接，單擊“創(chuàng)建文件夾”按鈕。輸入文件夾的名稱；以及選擇該文件夾是否啟用“服務(wù)器端加密”，該選項(xiàng)僅應(yīng)用于新文件夾對(duì)象，但不應(yīng)用于其中包含的對(duì)象。單擊“創(chuàng)建文件夾”按鈕完成創(chuàng)建。完成后，可以單擊該文件的鏈接進(jìn)入文件夾項(xiàng)目2使用對(duì)象存儲(chǔ)服務(wù)（2）上傳對(duì)象。先切換到“photos”文件夾。再單擊“對(duì)象”選項(xiàng)卡→“上傳”按鈕，單擊“添加文件”按鈕，可以把要上傳的文件添加到列表中；單擊“添加文件夾”按鈕，則可以把整個(gè)文件夾的文件添加到列表中；單擊“刪除”按鈕，可以把文件從上傳的列表中刪除項(xiàng)目2使用對(duì)象存儲(chǔ)服務(wù)（3）單擊“其他上傳選項(xiàng)”旁的三角形按鈕。可以指明對(duì)象上傳后使用的存儲(chǔ)類。（4）因?yàn)榇鎯?chǔ)桶已經(jīng)設(shè)置了服務(wù)器端加密，則上傳的對(duì)象必須指定加密密鑰項(xiàng)目2使用對(duì)象存儲(chǔ)服務(wù)（5）設(shè)置訪問控制列表(ACL)，向其他AmazonWebServices賬戶授予讀/寫權(quán)限（6）單擊“添加標(biāo)簽”按鈕，添加標(biāo)簽來跟蹤對(duì)象的存儲(chǔ)成本或其他標(biāo)準(zhǔn)；單擊“添加元數(shù)據(jù)”按鈕，可以添加對(duì)象的元數(shù)據(jù)項(xiàng)目2使用對(duì)象存儲(chǔ)服務(wù)（7）單擊“上傳”→“關(guān)閉”，完成文件上傳，根據(jù)文件大小和網(wǎng)速，等待時(shí)間不一（8）在對(duì)象列表中選中對(duì)象，在“操作”下拉列表中可以選擇對(duì)象的操作，有復(fù)制、移動(dòng)、下載、編輯等操作項(xiàng)目2使用對(duì)象存儲(chǔ)服務(wù)3.對(duì)象的版本控制（1）參見前面的步驟，重新在szpt20210403存儲(chǔ)桶的photos文件夾下，上傳puppy.jpg文件，圖片內(nèi)容需要更新，但是文件名不能改變。當(dāng)存儲(chǔ)桶啟用版本控制后，覆蓋原對(duì)象時(shí)會(huì)出現(xiàn)新的版本（2）單擊puppy.jpg對(duì)象，單擊“版本”選項(xiàng)卡，可以看到對(duì)象的不同版本。單擊對(duì)象的不同版本，則可以下載之前版本的對(duì)象或者編輯元數(shù)據(jù)項(xiàng)目2使用對(duì)象存儲(chǔ)服務(wù)（3）刪除對(duì)象、測(cè)試恢復(fù)對(duì)象。選中“puppy.jpg”對(duì)象，單擊“刪除”按鈕。輸入“刪除”字樣，單擊“刪除對(duì)象”按鈕，刪除對(duì)象；再單擊“關(guān)閉”按鈕；則對(duì)象被刪除，但這并不是永久刪除對(duì)象，可以恢復(fù)（4）永久刪除對(duì)象。如果要永久刪除對(duì)象，就需要?jiǎng)h除對(duì)象的全部版本。選擇對(duì)象的全部版本，如有類型為“刪除標(biāo)記”的版本，也需要選中。單擊“刪除按鈕”，再次確認(rèn)。永久刪除的對(duì)象無法恢復(fù)項(xiàng)目2使用對(duì)象存儲(chǔ)服務(wù)4.管理生命周期可以管理存儲(chǔ)桶的生命周期，以經(jīng)濟(jì)高效地存儲(chǔ)對(duì)象，S3生命周期配置是一組規(guī)則，用于定義AmazonS3對(duì)一組對(duì)象應(yīng)用的操作。有兩種類型的操作：轉(zhuǎn)換操作：定義對(duì)象轉(zhuǎn)換為另一個(gè)使用AmazonS3存儲(chǔ)類的時(shí)間。例如，可以選擇在對(duì)象創(chuàng)建30天后將其轉(zhuǎn)換為S3標(biāo)準(zhǔn)–IA存儲(chǔ)類，或在對(duì)象創(chuàng)建1年后將其存檔到S3Glacier存儲(chǔ)類II.過期操作：定義對(duì)象的過期時(shí)間。AmazonS3將自動(dòng)刪除過期的對(duì)象項(xiàng)目2使用對(duì)象存儲(chǔ)服務(wù)（1）在存儲(chǔ)桶列表中，單擊szpt20210403存儲(chǔ)桶→單擊“管理”選項(xiàng)卡→“創(chuàng)建生命周期規(guī)則”。輸入規(guī)則名稱。可以選擇規(guī)則作用的范圍，根據(jù)對(duì)象的前綴或者對(duì)象的標(biāo)簽篩選對(duì)象。本例選擇“此規(guī)則將應(yīng)用于存儲(chǔ)桶中的所有對(duì)象”選項(xiàng)。同時(shí)要勾選“我了解，此規(guī)則將應(yīng)用于存儲(chǔ)桶中的所有對(duì)象”選項(xiàng)，需要額外注意的是，該操作可能會(huì)產(chǎn)生費(fèi)用項(xiàng)目2使用對(duì)象存儲(chǔ)服務(wù)（2）可以設(shè)置各種生命周期規(guī)則操作。本例將在對(duì)象變?yōu)榉钱?dāng)前對(duì)象（即被覆蓋）后180天，對(duì)象的先前版本的存儲(chǔ)類型轉(zhuǎn)為“智能分層”。單擊“保存”按鈕（3）為新創(chuàng)建的生命周期規(guī)則，單擊該規(guī)則，可以刪除、編輯或者禁用項(xiàng)目2使用對(duì)象存儲(chǔ)服務(wù)5.管理訪問保證數(shù)據(jù)安全是用戶的基本需求AmazonS3支持使用基于資源的策略和用戶策略來管理對(duì)AmazonS3資源的訪問基于資源的策略包括存儲(chǔ)桶策略、存儲(chǔ)桶訪問控制列表(ACL)和對(duì)象ACL（1）存儲(chǔ)桶訪問控制列表(ACL)AmazonWebServices已經(jīng)不建議使用存儲(chǔ)桶ACL了，存儲(chǔ)桶ACL的唯一建議的使用案例是授予AmazonS3日志傳輸組寫入權(quán)限，以便將訪問日志對(duì)象寫入存儲(chǔ)桶和存儲(chǔ)桶ACL相關(guān)的還有一個(gè)“阻止所有公開訪問”選項(xiàng)項(xiàng)目2使用對(duì)象存儲(chǔ)服務(wù)在存儲(chǔ)桶列表中，單擊存儲(chǔ)szpt20210403→“權(quán)限”選項(xiàng)卡→“阻止公有訪問(存儲(chǔ)桶設(shè)置)”選項(xiàng)區(qū)→“編輯”按鈕，可以設(shè)置存儲(chǔ)桶是否可以被公有訪問。如果阻止所有公開的訪問，則即使使用對(duì)象ACL或者存儲(chǔ)桶策略授權(quán)公有訪問項(xiàng)目2使用對(duì)象存儲(chǔ)服務(wù)要編輯存儲(chǔ)桶的ACL，則在存儲(chǔ)桶列表中單擊存儲(chǔ)桶szpt20210403→“權(quán)限”選項(xiàng)卡，默認(rèn)時(shí)存儲(chǔ)桶擁有者有全部權(quán)限項(xiàng)目2使用對(duì)象存儲(chǔ)服務(wù)（2）對(duì)象訪問控制列表(ACL)存儲(chǔ)桶和對(duì)象的權(quán)限是相互獨(dú)立的，對(duì)象不繼承其存儲(chǔ)桶的權(quán)限。要編輯對(duì)象的ACL，首先在存儲(chǔ)桶中的文件夾找到對(duì)象，再單擊對(duì)象→“權(quán)限”選項(xiàng)卡→“編輯”按鈕。對(duì)象的各ACL權(quán)限含義項(xiàng)目2使用對(duì)象存儲(chǔ)服務(wù)（3）存儲(chǔ)桶策略可以創(chuàng)建和配置存儲(chǔ)桶策略，來授予用戶對(duì)AmazonS3資源的權(quán)限存儲(chǔ)桶策略使用基于JSON的訪問策略語言，一個(gè)存儲(chǔ)桶只能有一個(gè)策略以下以授予新建用戶zhang_ning可以從存儲(chǔ)桶szpt20210403下載對(duì)象為例（A）參見單元4，以管理員用戶登錄AmazonWebServices控制臺(tái)，在IAM里創(chuàng)建一個(gè)新的用戶zhang_ning項(xiàng)目2使用對(duì)象存儲(chǔ)服務(wù)（B）使用用戶策略授予zhang_ning瀏覽存儲(chǔ)桶權(quán)限。參見單元4，為zhang_ning添加內(nèi)聯(lián)，名為S3_ListAllMyBuckets以zhang_ning用戶，訪問S3資源，可以瀏覽存儲(chǔ)桶列表，但是仍然無法訪問存儲(chǔ)桶szpt20210403，更無法下載存儲(chǔ)桶中的對(duì)象{"Version":"2012-10-17","Statement":[{"Sid":"VisualEditor0","Effect":"Allow","Action":"s3:ListAllMyBuckets","Resource":"*"}]}項(xiàng)目2使用對(duì)象存儲(chǔ)服務(wù)（C）編輯存儲(chǔ)桶策略，允許zhang_ning用戶從存儲(chǔ)桶szpt20210403下載對(duì)象在存儲(chǔ)桶的“權(quán)限”選項(xiàng)卡中找到存儲(chǔ)桶策略區(qū)域，單擊“編輯”在策略編輯區(qū)輸入策略并保存項(xiàng)目2使用對(duì)象存儲(chǔ)服務(wù)（E）以zhang_ning用戶，重新訪問S3資源，可以訪問存儲(chǔ)桶szpt20210403，也下載存儲(chǔ)桶中的對(duì)象（D）鑒于策略編寫是