隨著對(duì)象存儲(chǔ)的普及，大中型企業(yè)基于一套對(duì)象存儲(chǔ)構(gòu)建統(tǒng)一的非結(jié)構(gòu)化數(shù)據(jù)管理平臺(tái)，以支撐多個(gè)部門(mén)或者不同業(yè)務(wù)線億級(jí)甚至百億級(jí)文件的存儲(chǔ)和管理，已較為常見(jiàn)。

面對(duì)如此龐大的數(shù)據(jù)量，存儲(chǔ)架構(gòu)如何實(shí)現(xiàn)數(shù)據(jù)安全高效管理和靈活共享是企業(yè)IT管理員所面臨的新挑戰(zhàn)。

常見(jiàn)解決方案：“曲線救國(guó)”，問(wèn)題依舊

想要一套存儲(chǔ)支撐不同部門(mén)和業(yè)務(wù)線，又同時(shí)滿足數(shù)據(jù)集中管理和靈活共享的需求，目前通用的做法是IT管理員在對(duì)象存儲(chǔ)中創(chuàng)建多個(gè)用戶(hù)，以代表著企業(yè)不同的部門(mén)；不同的用戶(hù)管理著自己名下的桶，即各部門(mén)有自己所管理的桶；各部門(mén)進(jìn)行數(shù)據(jù)存放時(shí)則通過(guò)相關(guān)用戶(hù)的賬號(hào)密碼來(lái)進(jìn)行存儲(chǔ)。這種做法雖然解決了數(shù)據(jù)的分部門(mén)管理問(wèn)題，卻依舊存在以下問(wèn)題：

運(yùn)維效率低

所有的用戶(hù)需由IT管理員提前創(chuàng)建好并進(jìn)行維護(hù)，業(yè)務(wù)部門(mén)無(wú)法根據(jù)其需求自行維護(hù)相關(guān)用戶(hù)，運(yùn)維工作全部由IT管理員承接，如果出現(xiàn)問(wèn)題需要跨部門(mén)協(xié)調(diào)IT管理員修改。

安全性低

部門(mén)內(nèi)部需要根據(jù)員工的崗位賦予不同的數(shù)據(jù)操作權(quán)限，當(dāng)前的解決方案無(wú)法再對(duì)部門(mén)內(nèi)的用戶(hù)進(jìn)行權(quán)限分級(jí)。為解決該問(wèn)題，對(duì)象存儲(chǔ)提供了桶策略及ACL兩種方式進(jìn)行授權(quán)。這兩種方式的操作方法是IT管理員先創(chuàng)建一個(gè)用戶(hù)，然后針對(duì)桶賦予用戶(hù)相應(yīng)的權(quán)限。但這樣又帶來(lái)新的問(wèn)題，即IT管理員無(wú)法控制該用戶(hù)的權(quán)限不允許其創(chuàng)建桶，從而導(dǎo)致創(chuàng)建的用戶(hù)可以自行在對(duì)象存儲(chǔ)中創(chuàng)建桶，這樣又對(duì)存儲(chǔ)安全造成了極大的隱患。

全新升級(jí)：杉巖對(duì)象存儲(chǔ)產(chǎn)品新增子用戶(hù)權(quán)限管理

通過(guò)以上的分析，可以發(fā)現(xiàn)，如果依靠已有的解決方案，顯然無(wú)法滿足用戶(hù)的需求。因此，杉巖數(shù)據(jù)針對(duì)上述場(chǎng)景，為對(duì)象存儲(chǔ)產(chǎn)品新增子用戶(hù)權(quán)限管理功能，幫助用戶(hù)輕松解決這一難題。

對(duì)象存儲(chǔ)子用戶(hù)權(quán)限管理是杉巖海量對(duì)象存儲(chǔ)V6版本的新功能，它具有如下優(yōu)勢(shì)：

靈活的權(quán)限管理配置

子用戶(hù)可以由管理員創(chuàng)建，也可以由對(duì)象用戶(hù)創(chuàng)建。對(duì)象用戶(hù)可以管理其名下的子用戶(hù)，包括新增、刪除、修改、查詢(xún)子用戶(hù)功能。管理員和對(duì)象用戶(hù)可以指定子用戶(hù)權(quán)限范圍內(nèi)的桶。

完善的權(quán)限控制體系

子用戶(hù)權(quán)限分為只讀、讀寫(xiě)、完全控制等權(quán)限，可以根據(jù)不同的業(yè)務(wù)場(chǎng)景賦予子用戶(hù)不同的權(quán)限。

權(quán)限聯(lián)動(dòng)，打通業(yè)務(wù)流

子用戶(hù)的權(quán)限與檢索的權(quán)限聯(lián)動(dòng)，例如只給子用戶(hù)授權(quán)了桶1的只讀權(quán)限，則子用戶(hù)在檢索頁(yè)面也只能搜索到桶1的相關(guān)數(shù)據(jù)，并且對(duì)數(shù)據(jù)只有只讀權(quán)限，無(wú)法編輯和刪除相關(guān)數(shù)據(jù)。

在杉巖對(duì)象存儲(chǔ)產(chǎn)品支持子用戶(hù)權(quán)限管理后，IT管理員只需要為各個(gè)部門(mén)創(chuàng)建好對(duì)象用戶(hù)，子用戶(hù)的管理操作由各個(gè)部門(mén)自行處理即可，無(wú)需事事都找IT管理員。此外，針對(duì)部門(mén)內(nèi)部員工不同操作權(quán)限的問(wèn)題，通過(guò)賦予子用戶(hù)不同的操作權(quán)限也能完美解決。

場(chǎng)景實(shí)踐：工業(yè)視覺(jué)質(zhì)檢數(shù)據(jù)存儲(chǔ)

通過(guò)實(shí)踐檢驗(yàn)，在制造業(yè)工業(yè)視覺(jué)質(zhì)檢數(shù)據(jù)存儲(chǔ)、證券行業(yè)非結(jié)構(gòu)化數(shù)據(jù)存儲(chǔ)等多個(gè)場(chǎng)景中，對(duì)象存儲(chǔ)子用戶(hù)權(quán)限管理功能的應(yīng)用，能進(jìn)一步保障數(shù)據(jù)安全。

以制造業(yè)工業(yè)視覺(jué)質(zhì)檢場(chǎng)景為例，產(chǎn)品的質(zhì)量檢測(cè)是生產(chǎn)制造中非常重要的一環(huán)，關(guān)乎產(chǎn)品的精密度、美觀度、質(zhì)量把控等多方面。為滿足對(duì)產(chǎn)品質(zhì)量的全流程追溯和管控的要求，質(zhì)檢數(shù)據(jù)通常會(huì)保留數(shù)年甚至數(shù)十年。在生產(chǎn)制造過(guò)程中，數(shù)據(jù)的產(chǎn)生、寫(xiě)入及讀取通常涉及不同的環(huán)節(jié)和人員。

圖 工業(yè)視覺(jué)質(zhì)檢場(chǎng)景，杉巖對(duì)象存儲(chǔ)子用戶(hù)權(quán)限管理示意

如上圖所示，在質(zhì)檢場(chǎng)景中，對(duì)象存儲(chǔ)被用來(lái)存儲(chǔ)產(chǎn)線的相關(guān)質(zhì)檢圖片數(shù)據(jù)，當(dāng)相關(guān)產(chǎn)品出現(xiàn)質(zhì)量問(wèn)題時(shí)，通常會(huì)由質(zhì)檢人員調(diào)閱數(shù)據(jù)進(jìn)行缺陷追溯，此外產(chǎn)線人員在生產(chǎn)過(guò)程中，有時(shí)也需要查閱相關(guān)數(shù)據(jù)。在此場(chǎng)景中，產(chǎn)線機(jī)臺(tái)是生產(chǎn)數(shù)據(jù)方也是數(shù)據(jù)讀取方，需要對(duì)桶擁有讀寫(xiě)權(quán)限；質(zhì)檢人員是數(shù)據(jù)讀取方，只需要對(duì)其授予桶的只讀權(quán)限，避免質(zhì)檢人員誤操作導(dǎo)致數(shù)據(jù)誤刪的情況。因此，針對(duì)該場(chǎng)景，杉巖對(duì)象存儲(chǔ)的建議操作方法如下：

1. 管理員為某工序創(chuàng)建對(duì)象用戶(hù)A；

2. 對(duì)象用戶(hù)A創(chuàng)建相關(guān)的桶；

3. 對(duì)象用戶(hù)A創(chuàng)建擁有讀寫(xiě)權(quán)限的子用戶(hù)RW-USER，提供給機(jī)臺(tái)上傳數(shù)據(jù)；

4. 對(duì)象用戶(hù)A創(chuàng)建一個(gè)擁有只讀權(quán)限的子用戶(hù)RO-USER，提供給質(zhì)檢人員；

5. 使用RW-USER及RO-USER用戶(hù)登錄數(shù)據(jù)管理系統(tǒng)進(jìn)行相關(guān)數(shù)據(jù)的查詢(xún)及搜索。

在工業(yè)視覺(jué)質(zhì)檢數(shù)據(jù)存儲(chǔ)場(chǎng)景，機(jī)臺(tái)操作員或質(zhì)檢相關(guān)人員通過(guò)子用戶(hù)權(quán)限管理功能，可安全且靈活地調(diào)取相關(guān)的數(shù)據(jù)進(jìn)行查驗(yàn)，完美地解決了相關(guān)的權(quán)限管理難題。

價(jià)值總結(jié)

在數(shù)字時(shí)代，數(shù)據(jù)是企業(yè)最重要的資產(chǎn)，數(shù)據(jù)安全是每個(gè)企業(yè)不可忽視的重要課題。對(duì)IT管理員來(lái)說(shuō)，對(duì)數(shù)據(jù)做好相應(yīng)的權(quán)限管控是最基礎(chǔ)的要求，如果因?yàn)樵綑?quán)問(wèn)題導(dǎo)致數(shù)據(jù)丟失則可能造成無(wú)法估量的損失。

杉巖數(shù)據(jù)創(chuàng)新推出的子用戶(hù)權(quán)限管理功能配合對(duì)象存儲(chǔ)桶策略及訪問(wèn)控制ACL對(duì)用戶(hù)的權(quán)限做了細(xì)化的管理，避免了因越權(quán)問(wèn)題導(dǎo)致的風(fēng)險(xiǎn)，很好地幫助企業(yè)用戶(hù)解決了數(shù)據(jù)安全高效管理與靈活共享無(wú)法兼得的難題，為企業(yè)的數(shù)據(jù)安全保駕護(hù)航。

審核編輯黃昊宇