在Apsara File Storage NAS中,許可權組是一個白名單機制。為了確保您的資料訪問安全,您可以通過配置自訂許可權組,為不同的IP地址或網段授予不同的存取權限,以滿足不同的訪問情境。
背景資訊
初始情況下,每個阿里雲帳號會自動產生一個預設許可權組,預設許可權組允許任何IP地址以最高許可權(可讀寫且不限制Linux系統使用者對檔案系統的存取權限)訪問檔案系統。預設許可權組不支援刪除或修改。
如果預設許可權組不符合您的業務需求,您也可以自訂許可權組,為IP地址或網段授予不同的存取權限,以滿足不同的訪問情境。
使用限制
一個阿里雲帳號在單個地區內最多可以建立20個許可權組。
一個許可權組最多支援添加300個規則。
僅支援建立專用網路類型的許可權組。
操作步驟
為了最大限度保障您的資料安全,建議您謹慎添加許可權組規則,僅為必要的IP地址或網段授權。
登入NAS控制台。
建立許可權組。
在左側導覽列,單擊。
在頁面上方,選擇地區。
在許可權組頁面,選擇通用型NAS或者極速型NAS頁簽,單擊建立許可權組。
在建立許可權組對話方塊中,配置相關資訊。
重要參數說明如下所示。
參數
說明
名稱
設定許可權組名稱。限制:
必須以大小寫字母開頭。
可以包含英文字母、數字、底線(_)或者短劃線(-)。
不支援中文字元。
許可權組名稱不能與已存在的許可權組名稱重複。
網路類型
僅支援專用網路。
說明自2022年11月21日起,通用型NAS檔案系統不支援建立傳統網路類型的許可權組。2022年11月21日前建立的傳統網路類型的許可權組仍可正常使用。
為許可權組添加規則。
找到剛建立的許可權組,單擊操作列的管理規則,然後單擊添加規則,配置相關規則資訊。
參數
說明
授與類型
本條規則的授與類型。取值包括IPv4訪問地址和IPv6訪問地址。
授權地址
本條規則的授權對象。
讀寫權限
允許授權對象對檔案系統進行唯讀操作或讀寫操作。包括唯讀和讀寫。
使用者權限
是否限制授權對象的Linux系統使用者對檔案系統的存取權限。SMB檔案系統不支援該許可權項,配置後不生效。
所有使用者不匿名(no_squash):允許使用root使用者訪問檔案系統。
root使用者匿名(root_squash):以root使用者身份訪問時,映射nobody使用者。
所有使用者匿名(all_squash):無論以何種使用者身份訪問,均映射為nobody使用者。
nobody使用者是Linux系統的預設使用者,只能訪問伺服器上的公用內容,具有低許可權,高安全性的特點。
優先順序
當同一個授權對象匹配到多條規則時,高優先順序規則將覆蓋低優先順序規則。可選擇1~100的整數,1為最高優先順序。
說明若多條規則中包含重疊的網段,且這些規則許可權不同、優先順序相同,則先配置的規則生效,請盡量避免重疊網段的配置。
單擊確定。
其他動作
在許可權組頁面,您可以進行如下操作。
操作 | 說明 |
查看許可權組及詳情 | 查看目前範圍已建立的許可權組及相關資訊,包括類型、規則數目、繫結檔案系統數目等資訊。 |
編輯許可權組 | 找到目標許可權組,單擊編輯,可編輯許可權組的描述資訊。 |
刪除許可權組 | 找到目標許可權組,單擊刪除,刪除許可權組。 |
查看許可權組規則 | 找到目標許可權組,單擊管理規則,查看此許可權組下的規則。 |
編輯許可權組規則 | 單擊管理規則,找到目標許可權組規則,單擊編輯,可修改授權地址、讀寫權限,使用者權限和優先順序。 |
刪除許可權組規則 | 單擊管理規則,找到目標許可權組規則,單擊刪除,刪除許可權組規則。 |
相關文檔
如果您想要保護傳輸過程中的資料安全,您可以通過傳輸加密功能保護您的ECS執行個體與NAS服務之間網路傳輸鏈路上的資料安全,確保資料在傳輸過程中不被竊取或纂改。具體操作,請參見NFS協議檔案系統傳輸加密或SMB協議檔案系統傳輸加密。