管理權(quán)限組
在文件存儲NAS中,權(quán)限組是一個白名單機制。為了確保您的數(shù)據(jù)訪問安全,您可以通過配置自定義權(quán)限組,為不同的IP地址或網(wǎng)段授予不同的訪問權(quán)限,以滿足不同的訪問場景。
背景信息
初始情況下,每個阿里云賬號會自動生成一個默認權(quán)限組,默認權(quán)限組允許任何IP地址以最高權(quán)限(可讀寫且不限制Linux系統(tǒng)用戶對文件系統(tǒng)的訪問權(quán)限)訪問文件系統(tǒng)。默認權(quán)限組不支持刪除或修改。
如果默認權(quán)限組不符合您的業(yè)務(wù)需求,您也可以自定義權(quán)限組,為IP地址或網(wǎng)段授予不同的訪問權(quán)限,以滿足不同的訪問場景。
使用限制
一個阿里云賬號在單個地域內(nèi)最多可以創(chuàng)建20個權(quán)限組。
一個權(quán)限組最多支持添加300個規(guī)則。
僅支持創(chuàng)建專有網(wǎng)絡(luò)類型的權(quán)限組。
操作步驟
為了最大限度保障您的數(shù)據(jù)安全,建議您謹慎添加權(quán)限組規(guī)則,僅為必要的IP地址或網(wǎng)段授權(quán)。
登錄NAS控制臺。
創(chuàng)建權(quán)限組。
在左側(cè)導航欄,單擊 。
在頁面上方,選擇地域。
在權(quán)限組頁面,選擇通用型NAS或者極速型NAS頁簽,單擊創(chuàng)建權(quán)限組。
在創(chuàng)建權(quán)限組對話框中,配置相關(guān)信息。
重要參數(shù)說明如下所示。
參數(shù)
說明
名稱
設(shè)置權(quán)限組名稱。限制:
必須以大小寫字母開頭。
可以包含英文字母、數(shù)字、下劃線(_)或者短劃線(-)。
不支持中文字符。
權(quán)限組名稱不能與已存在的權(quán)限組名稱重復。
網(wǎng)絡(luò)類型
僅支持專有網(wǎng)絡(luò)。
說明自2022年11月21日起,通用型NAS文件系統(tǒng)不支持新建經(jīng)典網(wǎng)絡(luò)類型的權(quán)限組。2022年11月21日前創(chuàng)建的經(jīng)典網(wǎng)絡(luò)類型的權(quán)限組仍可正常使用。
為權(quán)限組添加規(guī)則。
找到剛創(chuàng)建的權(quán)限組,單擊操作列的管理規(guī)則,然后單擊創(chuàng)建規(guī)則,配置相關(guān)規(guī)則信息。
參數(shù)
說明
授權(quán)類型
本條規(guī)則的授權(quán)類型。取值包括IPv4訪問地址和IPv6訪問地址。
極速型NAS:華北5(呼和浩特)、西南1(成都)、華北3(張家口)、華南1(深圳)、華東2(上海)、華東1(杭州)、華北2(北京)、華北1(青島)。
通用型NAS:美國(弗吉尼亞)、德國(法蘭克福)、菲律賓(馬尼拉)。
授權(quán)地址
本條規(guī)則的授權(quán)對象。
讀寫權(quán)限
允許授權(quán)對象對文件系統(tǒng)進行只讀操作或讀寫操作。包括只讀和讀寫。
用戶權(quán)限
是否限制授權(quán)對象的Linux系統(tǒng)用戶對文件系統(tǒng)的訪問權(quán)限。SMB文件系統(tǒng)不支持該權(quán)限項,配置后不生效。
所有用戶不匿名(no_squash):允許使用root用戶訪問文件系統(tǒng)。
root用戶匿名(root_squash):以root用戶身份訪問時,映射nobody用戶。
所有用戶匿名(all_squash):無論以何種用戶身份訪問,均映射為nobody用戶。
nobody用戶是Linux系統(tǒng)的默認用戶,只能訪問服務(wù)器上的公共內(nèi)容,具有低權(quán)限,高安全性的特點。
優(yōu)先級
當同一個授權(quán)對象匹配到多條規(guī)則時,高優(yōu)先級規(guī)則將覆蓋低優(yōu)先級規(guī)則。可選擇1~100的整數(shù),1為最高優(yōu)先級。
說明若多條規(guī)則中包含重疊的網(wǎng)段,且這些規(guī)則權(quán)限不同、優(yōu)先級相同,則先配置的規(guī)則生效,請盡量避免重疊網(wǎng)段的配置。
單擊確定。
其他操作
在權(quán)限組頁面,您可以進行如下操作。
操作 | 說明 |
查看權(quán)限組及詳情 | 查看當前區(qū)域已創(chuàng)建的權(quán)限組及相關(guān)信息,包括類型、規(guī)則數(shù)目、綁定文件系統(tǒng)數(shù)目等信息。 |
編輯權(quán)限組 | 找到目標權(quán)限組,單擊編輯,可編輯權(quán)限組的描述信息。 |
刪除權(quán)限組 | 找到目標權(quán)限組,單擊刪除,刪除權(quán)限組。 |
查看權(quán)限組規(guī)則 | 找到目標權(quán)限組,單擊管理規(guī)則,查看此權(quán)限組下的規(guī)則。 |
編輯權(quán)限組規(guī)則 | 單擊管理規(guī)則,找到目標權(quán)限組規(guī)則,單擊編輯,可修改授權(quán)地址、讀寫權(quán)限,用戶權(quán)限和優(yōu)先級。 |
刪除權(quán)限組規(guī)則 | 單擊管理規(guī)則,找到目標權(quán)限組規(guī)則,單擊刪除,刪除權(quán)限組規(guī)則。 |
相關(guān)文檔
如果您想要保護傳輸過程中的數(shù)據(jù)安全,您可以通過傳輸加密功能保護您的ECS實例與NAS服務(wù)之間網(wǎng)絡(luò)傳輸鏈路上的數(shù)據(jù)安全,確保數(shù)據(jù)在傳輸過程中不被竊取或纂改。具體操作,請參見NFS協(xié)議文件系統(tǒng)傳輸加密或SMB協(xié)議文件系統(tǒng)傳輸加密。