全部產品
Search
文件中心

File Storage NAS:系統管理權限組

更新時間:Sep 14, 2024

在Apsara File Storage NAS中,許可權組是一個白名單機制。為了確保您的資料訪問安全,您可以通過配置自訂許可權組,為不同的IP地址或網段授予不同的存取權限,以滿足不同的訪問情境。

背景資訊

初始情況下,每個阿里雲帳號會自動產生一個預設許可權組,預設許可權組允許任何IP地址以最高許可權(可讀寫且不限制Linux系統使用者對檔案系統的存取權限)訪問檔案系統。預設許可權組不支援刪除或修改。

重要

如果預設許可權組不符合您的業務需求,您也可以自訂許可權組,為IP地址或網段授予不同的存取權限,以滿足不同的訪問情境。

使用限制

  • 一個阿里雲帳號在單個地區內最多可以建立20個許可權組。

  • 一個許可權組最多支援添加300個規則。

  • 僅支援建立專用網路類型的許可權組。

操作步驟

說明

為了最大限度保障您的資料安全,建議您謹慎添加許可權組規則,僅為必要的IP地址或網段授權。

  1. 登入NAS控制台

  2. 建立許可權組。

    1. 在左側導覽列,單擊檔案系統 > 許可權組

    2. 在頁面上方,選擇地區。

    3. 許可權組頁面,選擇通用型NAS或者極速型NAS頁簽,單擊建立許可權組

    4. 建立許可權組對話方塊中,配置相關資訊。

      建立許可權組

      重要參數說明如下所示。

      參數

      說明

      名稱

      設定許可權組名稱。限制:

      • 必須以大小寫字母開頭。

      • 可以包含英文字母、數字、底線(_)或者短劃線(-)。

      • 不支援中文字元。

      • 許可權組名稱不能與已存在的許可權組名稱重複。

      網路類型

      僅支援專用網路

      說明

      自2022年11月21日起,通用型NAS檔案系統不支援建立傳統網路類型的許可權組。2022年11月21日前建立的傳統網路類型的許可權組仍可正常使用。

  3. 為許可權組添加規則。

    1. 找到剛建立的許可權組,單擊操作列的管理規則,然後單擊添加規則,配置相關規則資訊。

      參數

      說明

      授與類型

      本條規則的授與類型。取值包括IPv4訪問地址IPv6訪問地址

      單擊查看IPv6支援的地區

      極速型NAS:華北5(呼和浩特)、西南1(成都)、華北3(張家口)、華南1(深圳)、華東2(上海)、華東1(杭州)、華北2(北京)、華北1(青島)。

      通用型NAS:美國(維吉尼亞)、德國(法蘭克福)、菲律賓(馬尼拉)。

      授權地址

      本條規則的授權對象。

      讀寫權限

      允許授權對象對檔案系統進行唯讀操作或讀寫操作。包括唯讀讀寫

      使用者權限

      是否限制授權對象的Linux系統使用者對檔案系統的存取權限。SMB檔案系統不支援該許可權項,配置後不生效。

      • 所有使用者不匿名(no_squash):允許使用root使用者訪問檔案系統。

      • root使用者匿名(root_squash):以root使用者身份訪問時,映射nobody使用者。

      • 所有使用者匿名(all_squash):無論以何種使用者身份訪問,均映射為nobody使用者。

      nobody使用者是Linux系統的預設使用者,只能訪問伺服器上的公用內容,具有低許可權,高安全性的特點。

      優先順序

      當同一個授權對象匹配到多條規則時,高優先順序規則將覆蓋低優先順序規則。可選擇1~100的整數,1為最高優先順序。

      說明

      若多條規則中包含重疊的網段,且這些規則許可權不同、優先順序相同,則先配置的規則生效,請盡量避免重疊網段的配置。

    2. 單擊確定

其他動作

許可權組頁面,您可以進行如下操作。

操作

說明

查看許可權組及詳情

查看目前範圍已建立的許可權組及相關資訊,包括類型、規則數目、繫結檔案系統數目等資訊。

編輯許可權組

找到目標許可權組,單擊編輯,可編輯許可權組的描述資訊。

刪除許可權組

找到目標許可權組,單擊刪除,刪除許可權組。

查看許可權組規則

找到目標許可權組,單擊管理規則,查看此許可權組下的規則。

編輯許可權組規則

單擊管理規則,找到目標許可權組規則,單擊編輯,可修改授權地址、讀寫權限,使用者權限和優先順序。

刪除許可權組規則

單擊管理規則,找到目標許可權組規則,單擊刪除,刪除許可權組規則。

相關文檔

如果您想要保護傳輸過程中的資料安全,您可以通過傳輸加密功能保護您的ECS執行個體與NAS服務之間網路傳輸鏈路上的資料安全,確保資料在傳輸過程中不被竊取或纂改。具體操作,請參見NFS協議檔案系統傳輸加密SMB協議檔案系統傳輸加密