在文件存儲NAS中,權限組是一個白名單機制。為了確保您的數據訪問安全,您可以通過配置自定義權限組,為不同的IP地址或網段授予不同的訪問權限,以滿足不同的訪問場景。
背景信息
初始情況下,每個阿里云賬號會自動生成一個默認權限組,默認權限組允許任何IP地址以最高權限(可讀寫且不限制Linux系統用戶對文件系統的訪問權限)訪問文件系統。默認權限組不支持刪除或修改。
如果默認權限組不符合您的業務需求,您也可以自定義權限組,為IP地址或網段授予不同的訪問權限,以滿足不同的訪問場景。
使用限制
一個阿里云賬號在單個地域內最多可以創建20個權限組。
一個權限組最多支持添加300個規則。
僅支持創建專有網絡類型的權限組。
操作步驟
為了最大限度保障您的數據安全,建議您謹慎添加權限組規則,僅為必要的IP地址或網段授權。
登錄NAS控制臺。
創建權限組。
在左側導航欄,單擊。
在頁面上方,選擇地域。
在權限組頁面,選擇通用型NAS或者極速型NAS頁簽,單擊創建權限組。
在創建權限組對話框中,配置相關信息。
重要參數說明如下所示。
參數
說明
名稱
設置權限組名稱。限制:
必須以大小寫字母開頭。
可以包含英文字母、數字、下劃線(_)或者短劃線(-)。
不支持中文字符。
權限組名稱不能與已存在的權限組名稱重復。
網絡類型
僅支持專有網絡。
說明自2022年11月21日起,通用型NAS文件系統不支持新建經典網絡類型的權限組。2022年11月21日前創建的經典網絡類型的權限組仍可正常使用。
為權限組添加規則。
找到剛創建的權限組,單擊操作列的管理規則,然后單擊創建規則,配置相關規則信息。
參數
說明
授權類型
本條規則的授權類型。取值包括IPv4訪問地址和IPv6訪問地址。
極速型NAS:華北5(呼和浩特)、西南1(成都)、華北3(張家口)、華南1(深圳)、華東2(上海)、華東1(杭州)、華北2(北京)、華北1(青島)。
通用型NAS:美國(弗吉尼亞)、德國(法蘭克福)、菲律賓(馬尼拉)。
授權地址
本條規則的授權對象。
讀寫權限
允許授權對象對文件系統進行只讀操作或讀寫操作。包括只讀和讀寫。
用戶權限
是否限制授權對象的Linux系統用戶對文件系統的訪問權限。SMB文件系統不支持該權限項,配置后不生效。
所有用戶不匿名(no_squash):允許使用root用戶訪問文件系統。
root用戶匿名(root_squash):以root用戶身份訪問時,映射nobody用戶。
所有用戶匿名(all_squash):無論以何種用戶身份訪問,均映射為nobody用戶。
nobody用戶是Linux系統的默認用戶,只能訪問服務器上的公共內容,具有低權限,高安全性的特點。
優先級
當同一個授權對象匹配到多條規則時,高優先級規則將覆蓋低優先級規則。可選擇1~100的整數,1為最高優先級。
說明若多條規則中包含重疊的網段,且這些規則權限不同、優先級相同,則先配置的規則生效,請盡量避免重疊網段的配置。
單擊確定。
其他操作
在權限組頁面,您可以進行如下操作。
操作 | 說明 |
查看權限組及詳情 | 查看當前區域已創建的權限組及相關信息,包括類型、規則數目、綁定文件系統數目等信息。 |
編輯權限組 | 找到目標權限組,單擊編輯,可編輯權限組的描述信息。 |
刪除權限組 | 找到目標權限組,單擊刪除,刪除權限組。 |
查看權限組規則 | 找到目標權限組,單擊管理規則,查看此權限組下的規則。 |
編輯權限組規則 | 單擊管理規則,找到目標權限組規則,單擊編輯,可修改授權地址、讀寫權限,用戶權限和優先級。 |
刪除權限組規則 | 單擊管理規則,找到目標權限組規則,單擊刪除,刪除權限組規則。 |
相關文檔
如果您想要保護傳輸過程中的數據安全,您可以通過傳輸加密功能保護您的ECS實例與NAS服務之間網絡傳輸鏈路上的數據安全,確保數據在傳輸過程中不被竊取或纂改。具體操作,請參見NFS協議文件系統傳輸加密或SMB協議文件系統傳輸加密。