对象存储看起来像一个可以无限放文件的地方,但权限设计一旦混乱,风险会长期存在。公开图片、下载资料、用户上传附件、视频源文件、日志归档和备份副本的访问方式不同,不应只用一个“是否公开”的开关管理。
先按用途分组,而不是按文件格式分组
同样是图片,官网 logo 可能是公开资源,客户上传的证件图片则是敏感文件;同样是视频,宣传片可以公开播放,课程源文件可能只供转码系统访问。权限应依据业务用途、访问对象和保留要求设计,而不是依据后缀名。
公开访问也需要边界
公开资源适合放在独立路径或桶中,并通过 CDN 分发。仍然需要控制写入权限、缓存头、跨域规则和删除权限。真正危险的不是公开读取,而是让任何人或过多内部成员拥有写入和覆盖能力。
私有访问需要可撤销
私有附件、下载资料和临时交付文件通常需要签名 URL、有效期、访问范围和日志记录。不要把长期有效链接发给客户,也不要把内部管理账号当作下载凭据。权限越细,交接和撤销越要有记录。
| 资产类型 | 访问方式 | 重点风险 |
|---|---|---|
| 公开静态资源 | CDN 与只读公开访问 | 误写入、缓存污染、删除 |
| 受控下载 | 签名 URL 或登录后获取 | 链接长期有效、转发扩散 |
| 源文件 | 仅处理系统和授权人员访问 | 泄露、覆盖、版本混乱 |
| 备份归档 | 隔离账号与受控恢复 | 误删、未加密、恢复不可用 |
备份桶尤其不能顺手公开
备份包含的往往不是单个页面,而是配置、数据库、日志和上传文件。备份路径应限制读取和删除,保留恢复测试记录,并与公开资源分开。对象存储的成本优势只有和权限、生命周期、审计一起设计时才真正成立。