隨著對象存儲的普及，大中型企業基于一套對象存儲構建統一的非結構化數據管理平臺，以支撐多個部門或者不同業務線億級甚至百億級文件的存儲和管理，已較為常見。

面對如此龐大的數據量，存儲架構如何實現數據安全高效管理和靈活共享是企業IT管理員所面臨的新挑戰。

常見解決方案：“曲線救國”，問題依舊

想要一套存儲支撐不同部門和業務線，又同時滿足數據集中管理和靈活共享的需求，目前通用的做法是IT管理員在對象存儲中創建多個用戶，以代表著企業不同的部門；不同的用戶管理著自己名下的桶，即各部門有自己所管理的桶；各部門進行數據存放時則通過相關用戶的賬號密碼來進行存儲。這種做法雖然解決了數據的分部門管理問題，卻依舊存在以下問題：

運維效率低

所有的用戶需由IT管理員提前創建好并進行維護，業務部門無法根據其需求自行維護相關用戶，運維工作全部由IT管理員承接，如果出現問題需要跨部門協調IT管理員修改。

安全性低

部門內部需要根據員工的崗位賦予不同的數據操作權限，當前的解決方案無法再對部門內的用戶進行權限分級。為解決該問題，對象存儲提供了桶策略及ACL兩種方式進行授權。這兩種方式的操作方法是IT管理員先創建一個用戶，然后針對桶賦予用戶相應的權限。但這樣又帶來新的問題，即IT管理員無法控制該用戶的權限不允許其創建桶，從而導致創建的用戶可以自行在對象存儲中創建桶，這樣又對存儲安全造成了極大的隱患。

全新升級：杉巖對象存儲產品新增子用戶權限管理

通過以上的分析，可以發現，如果依靠已有的解決方案，顯然無法滿足用戶的需求。因此，杉巖數據針對上述場景，為對象存儲產品新增子用戶權限管理功能，幫助用戶輕松解決這一難題。

對象存儲子用戶權限管理是杉巖海量對象存儲V6版本的新功能，它具有如下優勢：

靈活的權限管理配置

子用戶可以由管理員創建，也可以由對象用戶創建。對象用戶可以管理其名下的子用戶，包括新增、刪除、修改、查詢子用戶功能。管理員和對象用戶可以指定子用戶權限范圍內的桶。

完善的權限控制體系

子用戶權限分為只讀、讀寫、完全控制等權限，可以根據不同的業務場景賦予子用戶不同的權限。

權限聯動，打通業務流

子用戶的權限與檢索的權限聯動，例如只給子用戶授權了桶1的只讀權限，則子用戶在檢索頁面也只能搜索到桶1的相關數據，并且對數據只有只讀權限，無法編輯和刪除相關數據。

在杉巖對象存儲產品支持子用戶權限管理后，IT管理員只需要為各個部門創建好對象用戶，子用戶的管理操作由各個部門自行處理即可，無需事事都找IT管理員。此外，針對部門內部員工不同操作權限的問題，通過賦予子用戶不同的操作權限也能完美解決。

場景實踐：工業視覺質檢數據存儲

通過實踐檢驗，在制造業工業視覺質檢數據存儲、證券行業非結構化數據存儲等多個場景中，對象存儲子用戶權限管理功能的應用，能進一步保障數據安全。

以制造業工業視覺質檢場景為例，產品的質量檢測是生產制造中非常重要的一環，關乎產品的精密度、美觀度、質量把控等多方面。為滿足對產品質量的全流程追溯和管控的要求，質檢數據通常會保留數年甚至數十年。在生產制造過程中，數據的產生、寫入及讀取通常涉及不同的環節和人員。

圖 工業視覺質檢場景，杉巖對象存儲子用戶權限管理示意

如上圖所示，在質檢場景中，對象存儲被用來存儲產線的相關質檢圖片數據，當相關產品出現質量問題時，通常會由質檢人員調閱數據進行缺陷追溯，此外產線人員在生產過程中，有時也需要查閱相關數據。在此場景中，產線機臺是生產數據方也是數據讀取方，需要對桶擁有讀寫權限；質檢人員是數據讀取方，只需要對其授予桶的只讀權限，避免質檢人員誤操作導致數據誤刪的情況。因此，針對該場景，杉巖對象存儲的建議操作方法如下：

1. 管理員為某工序創建對象用戶A；

2. 對象用戶A創建相關的桶；

3. 對象用戶A創建擁有讀寫權限的子用戶RW-USER，提供給機臺上傳數據；

4. 對象用戶A創建一個擁有只讀權限的子用戶RO-USER，提供給質檢人員；

5. 使用RW-USER及RO-USER用戶登錄數據管理系統進行相關數據的查詢及搜索。

在工業視覺質檢數據存儲場景，機臺操作員或質檢相關人員通過子用戶權限管理功能，可安全且靈活地調取相關的數據進行查驗，完美地解決了相關的權限管理難題。

價值總結

在數字時代，數據是企業最重要的資產，數據安全是每個企業不可忽視的重要課題。對IT管理員來說，對數據做好相應的權限管控是最基礎的要求，如果因為越權問題導致數據丟失則可能造成無法估量的損失。

杉巖數據創新推出的子用戶權限管理功能配合對象存儲桶策略及訪問控制ACL對用戶的權限做了細化的管理，避免了因越權問題導致的風險，很好地幫助企業用戶解決了數據安全高效管理與靈活共享無法兼得的難題，為企業的數據安全保駕護航。

審核編輯黃昊宇