存储用户权限如何管理？杉岩对象存储产品实现数据安全和灵活共享兼得

随着对象存储的普及，大中型企业基于一套对象存储构建统一的非结构化数据管理平台，以支撑多个部门或者不同业务线亿级甚至百亿级文件的存储和管理，已较为常见。

面对如此庞大的数据量，存储架构如何实现数据安全高效管理和灵活共享是企业IT管理员所面临的新挑战。

常见解决方案：“曲线救国”，问题依旧

想要一套存储支撑不同部门和业务线，又同时满足数据集中管理和灵活共享的需求，目前通用的做法是IT管理员在对象存储中创建多个用户，以代表着企业不同的部门；不同的用户管理着自己名下的桶，即各部门有自己所管理的桶；各部门进行数据存放时则通过相关用户的账号密码来进行存储。这种做法虽然解决了数据的分部门管理问题，却依旧存在以下问题：

运维效率低

所有的用户需由IT管理员提前创建好并进行维护，业务部门无法根据其需求自行维护相关用户，运维工作全部由IT管理员承接，如果出现问题需要跨部门协调IT管理员修改。

安全性低

部门内部需要根据员工的岗位赋予不同的数据操作权限，当前的解决方案无法再对部门内的用户进行权限分级。为解决该问题，对象存储提供了桶策略及ACL两种方式进行授权。这两种方式的操作方法是IT管理员先创建一个用户，然后针对桶赋予用户相应的权限。但这样又带来新的问题，即IT管理员无法控制该用户的权限不允许其创建桶，从而导致创建的用户可以自行在对象存储中创建桶，这样又对存储安全造成了极大的隐患。

全新升级：杉岩对象存储产品新增子用户权限管理

通过以上的分析，可以发现，如果依靠已有的解决方案，显然无法满足用户的需求。因此，杉岩数据针对上述场景，为对象存储产品新增子用户权限管理功能，帮助用户轻松解决这一难题。

对象存储子用户权限管理是杉岩海量对象存储V6版本的新功能，它具有如下优势：

灵活的权限管理配置

子用户可以由管理员创建，也可以由对象用户创建。对象用户可以管理其名下的子用户，包括新增、删除、修改、查询子用户功能。管理员和对象用户可以指定子用户权限范围内的桶。

完善的权限控制体系

子用户权限分为只读、读写、完全控制等权限，可以根据不同的业务场景赋予子用户不同的权限。

权限联动，打通业务流

子用户的权限与检索的权限联动，例如只给子用户授权了桶1的只读权限，则子用户在检索页面也只能搜索到桶1的相关数据，并且对数据只有只读权限，无法编辑和删除相关数据。

在杉岩对象存储产品支持子用户权限管理后，IT管理员只需要为各个部门创建好对象用户，子用户的管理操作由各个部门自行处理即可，无需事事都找IT管理员。此外，针对部门内部员工不同操作权限的问题，通过赋予子用户不同的操作权限也能完美解决。

场景实践：工业视觉质检数据存储

通过实践检验，在制造业工业视觉质检数据存储、证券行业非结构化数据存储等多个场景中，对象存储子用户权限管理功能的应用，能进一步保障数据安全。

以制造业工业视觉质检场景为例，产品的质量检测是生产制造中非常重要的一环，关乎产品的精密度、美观度、质量把控等多方面。为满足对产品质量的全流程追溯和管控的要求，质检数据通常会保留数年甚至数十年。在生产制造过程中，数据的产生、写入及读取通常涉及不同的环节和人员。

图 工业视觉质检场景，杉岩对象存储子用户权限管理示意

如上图所示，在质检场景中，对象存储被用来存储产线的相关质检图片数据，当相关产品出现质量问题时，通常会由质检人员调阅数据进行缺陷追溯，此外产线人员在生产过程中，有时也需要查阅相关数据。在此场景中，产线机台是生产数据方也是数据读取方，需要对桶拥有读写权限；质检人员是数据读取方，只需要对其授予桶的只读权限，避免质检人员误操作导致数据误删的情况。因此，针对该场景，杉岩对象存储的建议操作方法如下：

1. 管理员为某工序创建对象用户A；

2. 对象用户A创建相关的桶；

3. 对象用户A创建拥有读写权限的子用户RW-USER，提供给机台上传数据；

4. 对象用户A创建一个拥有只读权限的子用户RO-USER，提供给质检人员；

5. 使用RW-USER及RO-USER用户登录数据管理系统进行相关数据的查询及搜索。

在工业视觉质检数据存储场景，机台操作员或质检相关人员通过子用户权限管理功能，可安全且灵活地调取相关的数据进行查验，完美地解决了相关的权限管理难题。

价值总结

在数字时代，数据是企业最重要的资产，数据安全是每个企业不可忽视的重要课题。对IT管理员来说，对数据做好相应的权限管控是最基础的要求，如果因为越权问题导致数据丢失则可能造成无法估量的损失。

杉岩数据创新推出的子用户权限管理功能配合对象存储桶策略及访问控制ACL对用户的权限做了细化的管理，避免了因越权问题导致的风险，很好地帮助企业用户解决了数据安全高效管理与灵活共享无法兼得的难题，为企业的数据安全保驾护航。

审核编辑黄昊宇