物件儲存看起來像一個可以無限放檔案的地方,但許可權設計一旦混亂,風險會長期存在。公開圖片、下載資料、使用者上傳附件、影片原始檔、日誌歸檔和備份副本的訪問方式不同,不應只用一個“是否公開”的開關管理。

物件儲存按公開內容、受控內容和備份歸檔分層
許可權模型應先按資產用途分層,再設定訪問和生命週期規則。

先按用途分組,而不是按檔案格式分組

同樣是圖片,官網 logo 可能是公開資源,客戶上傳的證件圖片則是敏感檔案;同樣是影片,宣傳片可以公開播放,課程原始檔可能只供轉碼系統訪問。許可權應依據業務用途、訪問物件和保留要求設計,而不是依據字尾名。

公開訪問也需要邊界

公開資源適合放在獨立路徑或桶中,並通過 CDN 分發。仍然需要控制寫入許可權、快取頭、跨域規則和刪除許可權。真正危險的不是公開讀取,而是讓任何人或過多內部成員擁有寫入和覆蓋能力。

私有訪問需要可撤銷

私有附件、下載資料和臨時交付檔案通常需要簽名 URL、有效期、訪問範圍和日誌記錄。不要把長期有效連結發給客戶,也不要把內部管理賬號當作下載憑據。許可權越細,交接和撤銷越要有記錄。

資產型別訪問方式重點風險
公開靜態資源CDN 與只讀公開訪問誤寫入、快取汙染、刪除
受控下載簽名 URL 或登入後獲取連結長期有效、轉發擴散
原始檔僅處理系統和授權人員訪問洩露、覆蓋、版本混亂
備份歸檔隔離賬號與受控恢復誤刪、未加密、恢復不可用

備份桶尤其不能順手公開

備份包含的往往不是單個頁面,而是配置、資料庫、日誌和上傳檔案。備份路徑應限制讀取和刪除,保留恢復測試記錄,並與公開資源分開。物件儲存的成本優勢只有和許可權、生命週期、審計一起設計時才真正成立。