隨著對象存儲的普及，大中型企業(yè)基于一套對象存儲構(gòu)建統(tǒng)一的非結(jié)構(gòu)化數(shù)據(jù)管理平臺，以支撐多個部門或者不同業(yè)務(wù)線億級甚至百億級文件的存儲和管理，已較為常見。

面對如此龐大的數(shù)據(jù)量，存儲架構(gòu)如何實現(xiàn)數(shù)據(jù)安全高效管理和靈活共享是企業(yè)IT管理員所面臨的新挑戰(zhàn)。

常見解決方案：“曲線救國”，問題依舊

想要一套存儲支撐不同部門和業(yè)務(wù)線，又同時滿足數(shù)據(jù)集中管理和靈活共享的需求，目前通用的做法是IT管理員在對象存儲中創(chuàng)建多個用戶，以代表著企業(yè)不同的部門；不同的用戶管理著自己名下的桶，即各部門有自己所管理的桶；各部門進行數(shù)據(jù)存放時則通過相關(guān)用戶的賬號密碼來進行存儲。這種做法雖然解決了數(shù)據(jù)的分部門管理問題，卻依舊存在以下問題：

運維效率低

所有的用戶需由IT管理員提前創(chuàng)建好并進行維護，業(yè)務(wù)部門無法根據(jù)其需求自行維護相關(guān)用戶，運維工作全部由IT管理員承接，如果出現(xiàn)問題需要跨部門協(xié)調(diào)IT管理員修改。

安全性低

部門內(nèi)部需要根據(jù)員工的崗位賦予不同的數(shù)據(jù)操作權(quán)限，當前的解決方案無法再對部門內(nèi)的用戶進行權(quán)限分級。為解決該問題，對象存儲提供了桶策略及ACL兩種方式進行授權(quán)。這兩種方式的操作方法是IT管理員先創(chuàng)建一個用戶，然后針對桶賦予用戶相應(yīng)的權(quán)限。但這樣又帶來新的問題，即IT管理員無法控制該用戶的權(quán)限不允許其創(chuàng)建桶，從而導致創(chuàng)建的用戶可以自行在對象存儲中創(chuàng)建桶，這樣又對存儲安全造成了極大的隱患。

全新升級：杉巖對象存儲產(chǎn)品新增子用戶權(quán)限管理

通過以上的分析，可以發(fā)現(xiàn)，如果依靠已有的解決方案，顯然無法滿足用戶的需求。因此，杉巖數(shù)據(jù)針對上述場景，為對象存儲產(chǎn)品新增子用戶權(quán)限管理功能，幫助用戶輕松解決這一難題。

對象存儲子用戶權(quán)限管理是杉巖海量對象存儲V6版本的新功能，它具有如下優(yōu)勢：

靈活的權(quán)限管理配置

子用戶可以由管理員創(chuàng)建，也可以由對象用戶創(chuàng)建。對象用戶可以管理其名下的子用戶，包括新增、刪除、修改、查詢子用戶功能。管理員和對象用戶可以指定子用戶權(quán)限范圍內(nèi)的桶。

完善的權(quán)限控制體系

子用戶權(quán)限分為只讀、讀寫、完全控制等權(quán)限，可以根據(jù)不同的業(yè)務(wù)場景賦予子用戶不同的權(quán)限。

權(quán)限聯(lián)動，打通業(yè)務(wù)流

子用戶的權(quán)限與檢索的權(quán)限聯(lián)動，例如只給子用戶授權(quán)了桶1的只讀權(quán)限，則子用戶在檢索頁面也只能搜索到桶1的相關(guān)數(shù)據(jù)，并且對數(shù)據(jù)只有只讀權(quán)限，無法編輯和刪除相關(guān)數(shù)據(jù)。

在杉巖對象存儲產(chǎn)品支持子用戶權(quán)限管理后，IT管理員只需要為各個部門創(chuàng)建好對象用戶，子用戶的管理操作由各個部門自行處理即可，無需事事都找IT管理員。此外，針對部門內(nèi)部員工不同操作權(quán)限的問題，通過賦予子用戶不同的操作權(quán)限也能完美解決。

場景實踐：工業(yè)視覺質(zhì)檢數(shù)據(jù)存儲

通過實踐檢驗，在制造業(yè)工業(yè)視覺質(zhì)檢數(shù)據(jù)存儲、證券行業(yè)非結(jié)構(gòu)化數(shù)據(jù)存儲等多個場景中，對象存儲子用戶權(quán)限管理功能的應(yīng)用，能進一步保障數(shù)據(jù)安全。

以制造業(yè)工業(yè)視覺質(zhì)檢場景為例，產(chǎn)品的質(zhì)量檢測是生產(chǎn)制造中非常重要的一環(huán)，關(guān)乎產(chǎn)品的精密度、美觀度、質(zhì)量把控等多方面。為滿足對產(chǎn)品質(zhì)量的全流程追溯和管控的要求，質(zhì)檢數(shù)據(jù)通常會保留數(shù)年甚至數(shù)十年。在生產(chǎn)制造過程中，數(shù)據(jù)的產(chǎn)生、寫入及讀取通常涉及不同的環(huán)節(jié)和人員。

圖 工業(yè)視覺質(zhì)檢場景，杉巖對象存儲子用戶權(quán)限管理示意

如上圖所示，在質(zhì)檢場景中，對象存儲被用來存儲產(chǎn)線的相關(guān)質(zhì)檢圖片數(shù)據(jù)，當相關(guān)產(chǎn)品出現(xiàn)質(zhì)量問題時，通常會由質(zhì)檢人員調(diào)閱數(shù)據(jù)進行缺陷追溯，此外產(chǎn)線人員在生產(chǎn)過程中，有時也需要查閱相關(guān)數(shù)據(jù)。在此場景中，產(chǎn)線機臺是生產(chǎn)數(shù)據(jù)方也是數(shù)據(jù)讀取方，需要對桶擁有讀寫權(quán)限；質(zhì)檢人員是數(shù)據(jù)讀取方，只需要對其授予桶的只讀權(quán)限，避免質(zhì)檢人員誤操作導致數(shù)據(jù)誤刪的情況。因此，針對該場景，杉巖對象存儲的建議操作方法如下：

1. 管理員為某工序創(chuàng)建對象用戶A；

2. 對象用戶A創(chuàng)建相關(guān)的桶；

3. 對象用戶A創(chuàng)建擁有讀寫權(quán)限的子用戶RW-USER，提供給機臺上傳數(shù)據(jù)；

4. 對象用戶A創(chuàng)建一個擁有只讀權(quán)限的子用戶RO-USER，提供給質(zhì)檢人員；

5. 使用RW-USER及RO-USER用戶登錄數(shù)據(jù)管理系統(tǒng)進行相關(guān)數(shù)據(jù)的查詢及搜索。

在工業(yè)視覺質(zhì)檢數(shù)據(jù)存儲場景，機臺操作員或質(zhì)檢相關(guān)人員通過子用戶權(quán)限管理功能，可安全且靈活地調(diào)取相關(guān)的數(shù)據(jù)進行查驗，完美地解決了相關(guān)的權(quán)限管理難題。

價值總結(jié)

在數(shù)字時代，數(shù)據(jù)是企業(yè)最重要的資產(chǎn)，數(shù)據(jù)安全是每個企業(yè)不可忽視的重要課題。對IT管理員來說，對數(shù)據(jù)做好相應(yīng)的權(quán)限管控是最基礎(chǔ)的要求，如果因為越權(quán)問題導致數(shù)據(jù)丟失則可能造成無法估量的損失。

杉巖數(shù)據(jù)創(chuàng)新推出的子用戶權(quán)限管理功能配合對象存儲桶策略及訪問控制ACL對用戶的權(quán)限做了細化的管理，避免了因越權(quán)問題導致的風險，很好地幫助企業(yè)用戶解決了數(shù)據(jù)安全高效管理與靈活共享無法兼得的難題，為企業(yè)的數(shù)據(jù)安全保駕護航。

審核編輯黃昊宇