本文是OSS數(shù)據(jù)安全，將OSS數(shù)據(jù)安全的考點(diǎn)和考法做了一個(gè)梳理，希望能幫助到各位考生。OSS數(shù)據(jù)安全的考點(diǎn)和考法具體如下：

章節(jié)：OSS數(shù)據(jù)安全

考點(diǎn)：權(quán)限控制與鑒權(quán)

考法1：OSS支持的權(quán)限控制方式

1.OSS支持的權(quán)限控制：【RAM Policy（基于用戶的授權(quán)策略）】、【Bucket Policy（基于資源的授權(quán)策略）】、【Bucket ACL（Bucket級(jí)別的讀寫(xiě)權(quán)限ACL）】、【Object ACL（Object級(jí)別的讀寫(xiě)權(quán)限ACL）】。

考法2：ACL權(quán)限類型

1.Bucket ACL是Bucket級(jí)別的權(quán)限訪問(wèn)控制。目前有三種訪問(wèn)權(quán)限：public-read-write（公共讀寫(xiě)）、public-read（公共讀、私有寫(xiě)）和private（私有讀寫(xiě)）。

考法3：Bucket支持的權(quán)限方式

1.可以對(duì)Bucket設(shè)置的權(quán)限：公共讀寫(xiě)、公共讀和私有

考法4：Object支持的權(quán)限方式

1.Object ACL是Object級(jí)別的權(quán)限訪問(wèn)控制。目前有四種訪問(wèn)權(quán)限：private（私有讀寫(xiě)）、public-read-write（公共讀寫(xiě)）、public-read（公共讀、私有寫(xiě)）、default（默認(rèn)權(quán)限）即繼承Bucket。

考法5：權(quán)限方式的描述

1. 公共讀允許其他用戶訪問(wèn)就代表允許公共訪問(wèn)此Bucket。 

考法6：權(quán)限判斷

1.Object為【公共讀寫(xiě)資源】時(shí)，所有用戶擁有對(duì)該Object的讀寫(xiě)權(quán)限，優(yōu)先執(zhí)行。

考法7：OSS與訪問(wèn)控制RAM配合應(yīng)用

1.不同的應(yīng)用訪問(wèn)不同的Bucket，權(quán)限不僅要有“允許”和“拒絕”，也要區(qū)分“讀”和“寫(xiě)”。

考法8：鑒權(quán)方式

1.當(dāng)文件所在的Bucket的讀寫(xiě)權(quán)限是“私有”時(shí)，OSS分享鏈接采用的安全機(jī)制是【在管理控制臺(tái)中獲取文件訪問(wèn)URL時(shí)設(shè)置分享鏈接有效的時(shí)間，超過(guò)設(shè)定時(shí)間無(wú)法下載】。

考法9：鑒權(quán)

當(dāng)用戶訪問(wèn)OSS出現(xiàn)錯(cuò)誤時(shí)，OSS會(huì)返回一個(gè)3xx、4xx或者5xx的HTTP狀態(tài)碼以及一個(gè)application/xml格式的消息體，便于用戶定位問(wèn)題并解決問(wèn)題?；诖?，您可以通過(guò)OSS返回的錯(cuò)誤信息在本文匹配解決方案。

考點(diǎn)：數(shù)據(jù)加密

考法1：數(shù)據(jù)加密方式

1.針對(duì)不同的應(yīng)用場(chǎng)景，OSS有如下兩種服務(wù)器端加密方式：1.使用KMS托管密鑰進(jìn)行加解密（SSE-KMS）；2.使用OSS完全托管加密（SSE-OSS）。

考點(diǎn)：版本控制

考法1：版本控制的特性

1.【版本控制】是針對(duì)存儲(chǔ)空間（Bucket）級(jí)別的數(shù)據(jù)保護(hù)功能。

2.開(kāi)啟版本控制后，針對(duì)數(shù)據(jù)的覆蓋和刪除操作會(huì)以歷史版本的形式保存下來(lái)；如果錯(cuò)誤覆蓋或刪除文件（Object）后，能夠?qū)ucket中存儲(chǔ)的Object恢復(fù)至任意時(shí)刻的歷史版本。

3.同一Bucket中，版本控制與合規(guī)保留策略無(wú)法同時(shí)配置。

考點(diǎn)：合規(guī)保留策略

考法1：合規(guī)保留策略的設(shè)置

1.OSS提供強(qiáng)合規(guī)策略，可以針對(duì)Bucket設(shè)置【基于時(shí)間】的合規(guī)保留策略。

考點(diǎn)：防盜鏈

考法1：防盜鏈的機(jī)制

1.對(duì)象存儲(chǔ)OSS的防盜鏈?zhǔn)腔凇綡TTP或HTTPS header中包含的Referer字段】來(lái)實(shí)現(xiàn)的。

考法2：防盜鏈的特性

1.在支持通配符中，用星號(hào)*代替0個(gè)或多個(gè)字符；用問(wèn)號(hào)？代替1個(gè)字符。

2.白名單為空時(shí)，不會(huì)檢查Referer字段是否為空；白名單不為空且設(shè)置了不允許Referer字段為空的規(guī)則時(shí)，則只有Referer屬于白名單的請(qǐng)求被允許，其他所有請(qǐng)求都會(huì)被拒絕；白名單不為空且設(shè)置了允許Referer字段為空的規(guī)則，則白名單為空的請(qǐng)求和符合白名單的請(qǐng)求會(huì)被允許，其他被拒絕。

考法3：防盜鏈的應(yīng)用場(chǎng)景

1.OSS Bucket屬性里的防盜鏈功能可以杜絕其他站點(diǎn)的下載。

考法4：防盜鏈的生效前提

1.用戶只有通過(guò)URL簽名或者匿名訪問(wèn)Object時(shí)，才會(huì)做防盜鏈驗(yàn)證。請(qǐng)求Header中有Authorization字段時(shí)，不會(huì)做防盜鏈驗(yàn)證。