隨著對(duì)象存儲(chǔ)的普及，大中型企業(yè)基于一套對(duì)象存儲(chǔ)構(gòu)建統(tǒng)一的非結(jié)構(gòu)化數(shù)據(jù)管理平臺(tái)，以支撐多個(gè)部門或者不同業(yè)務(wù)線億級(jí)甚至百億級(jí)文件的存儲(chǔ)和管理，已較為常見。

面對(duì)如此龐大的數(shù)據(jù)量，存儲(chǔ)架構(gòu)如何實(shí)現(xiàn)數(shù)據(jù)安全高效管理和靈活共享是企業(yè)IT管理員所面臨的新挑戰(zhàn)。

常見解決方案：“曲線救國”，問題依舊

想要一套存儲(chǔ)支撐不同部門和業(yè)務(wù)線，又同時(shí)滿足數(shù)據(jù)集中管理和靈活共享的需求，目前通用的做法是IT管理員在對(duì)象存儲(chǔ)中創(chuàng)建多個(gè)用戶，以代表著企業(yè)不同的部門；不同的用戶管理著自己名下的桶，即各部門有自己所管理的桶；各部門進(jìn)行數(shù)據(jù)存放時(shí)則通過相關(guān)用戶的賬號(hào)密碼來進(jìn)行存儲(chǔ)。這種做法雖然解決了數(shù)據(jù)的分部門管理問題，卻依舊存在以下問題：

運(yùn)維效率低

所有的用戶需由IT管理員提前創(chuàng)建好并進(jìn)行維護(hù)，業(yè)務(wù)部門無法根據(jù)其需求自行維護(hù)相關(guān)用戶，運(yùn)維工作全部由IT管理員承接，如果出現(xiàn)問題需要跨部門協(xié)調(diào)IT管理員修改。

安全性低

部門內(nèi)部需要根據(jù)員工的崗位賦予不同的數(shù)據(jù)操作權(quán)限，當(dāng)前的解決方案無法再對(duì)部門內(nèi)的用戶進(jìn)行權(quán)限分級(jí)。為解決該問題，對(duì)象存儲(chǔ)提供了桶策略及ACL兩種方式進(jìn)行授權(quán)。這兩種方式的操作方法是IT管理員先創(chuàng)建一個(gè)用戶，然后針對(duì)桶賦予用戶相應(yīng)的權(quán)限。但這樣又帶來新的問題，即IT管理員無法控制該用戶的權(quán)限不允許其創(chuàng)建桶，從而導(dǎo)致創(chuàng)建的用戶可以自行在對(duì)象存儲(chǔ)中創(chuàng)建桶，這樣又對(duì)存儲(chǔ)安全造成了極大的隱患。

全新升級(jí)：杉巖對(duì)象存儲(chǔ)產(chǎn)品新增子用戶權(quán)限管理

通過以上的分析，可以發(fā)現(xiàn)，如果依靠已有的解決方案，顯然無法滿足用戶的需求。因此，杉巖數(shù)據(jù)針對(duì)上述場景，為對(duì)象存儲(chǔ)產(chǎn)品新增子用戶權(quán)限管理功能，幫助用戶輕松解決這一難題。

對(duì)象存儲(chǔ)子用戶權(quán)限管理是杉巖海量對(duì)象存儲(chǔ)V6版本的新功能，它具有如下優(yōu)勢：

靈活的權(quán)限管理配置

子用戶可以由管理員創(chuàng)建，也可以由對(duì)象用戶創(chuàng)建。對(duì)象用戶可以管理其名下的子用戶，包括新增、刪除、修改、查詢子用戶功能。管理員和對(duì)象用戶可以指定子用戶權(quán)限范圍內(nèi)的桶。

完善的權(quán)限控制體系

子用戶權(quán)限分為只讀、讀寫、完全控制等權(quán)限，可以根據(jù)不同的業(yè)務(wù)場景賦予子用戶不同的權(quán)限。

權(quán)限聯(lián)動(dòng)，打通業(yè)務(wù)流

子用戶的權(quán)限與檢索的權(quán)限聯(lián)動(dòng)，例如只給子用戶授權(quán)了桶1的只讀權(quán)限，則子用戶在檢索頁面也只能搜索到桶1的相關(guān)數(shù)據(jù)，并且對(duì)數(shù)據(jù)只有只讀權(quán)限，無法編輯和刪除相關(guān)數(shù)據(jù)。

在杉巖對(duì)象存儲(chǔ)產(chǎn)品支持子用戶權(quán)限管理后，IT管理員只需要為各個(gè)部門創(chuàng)建好對(duì)象用戶，子用戶的管理操作由各個(gè)部門自行處理即可，無需事事都找IT管理員。此外，針對(duì)部門內(nèi)部員工不同操作權(quán)限的問題，通過賦予子用戶不同的操作權(quán)限也能完美解決。

場景實(shí)踐：工業(yè)視覺質(zhì)檢數(shù)據(jù)存儲(chǔ)

通過實(shí)踐檢驗(yàn)，在制造業(yè)工業(yè)視覺質(zhì)檢數(shù)據(jù)存儲(chǔ)、證券行業(yè)非結(jié)構(gòu)化數(shù)據(jù)存儲(chǔ)等多個(gè)場景中，對(duì)象存儲(chǔ)子用戶權(quán)限管理功能的應(yīng)用，能進(jìn)一步保障數(shù)據(jù)安全。

以制造業(yè)工業(yè)視覺質(zhì)檢場景為例，產(chǎn)品的質(zhì)量檢測是生產(chǎn)制造中非常重要的一環(huán)，關(guān)乎產(chǎn)品的精密度、美觀度、質(zhì)量把控等多方面。為滿足對(duì)產(chǎn)品質(zhì)量的全流程追溯和管控的要求，質(zhì)檢數(shù)據(jù)通常會(huì)保留數(shù)年甚至數(shù)十年。在生產(chǎn)制造過程中，數(shù)據(jù)的產(chǎn)生、寫入及讀取通常涉及不同的環(huán)節(jié)和人員。

圖 工業(yè)視覺質(zhì)檢場景，杉巖對(duì)象存儲(chǔ)子用戶權(quán)限管理示意

如上圖所示，在質(zhì)檢場景中，對(duì)象存儲(chǔ)被用來存儲(chǔ)產(chǎn)線的相關(guān)質(zhì)檢圖片數(shù)據(jù)，當(dāng)相關(guān)產(chǎn)品出現(xiàn)質(zhì)量問題時(shí)，通常會(huì)由質(zhì)檢人員調(diào)閱數(shù)據(jù)進(jìn)行缺陷追溯，此外產(chǎn)線人員在生產(chǎn)過程中，有時(shí)也需要查閱相關(guān)數(shù)據(jù)。在此場景中，產(chǎn)線機(jī)臺(tái)是生產(chǎn)數(shù)據(jù)方也是數(shù)據(jù)讀取方，需要對(duì)桶擁有讀寫權(quán)限；質(zhì)檢人員是數(shù)據(jù)讀取方，只需要對(duì)其授予桶的只讀權(quán)限，避免質(zhì)檢人員誤操作導(dǎo)致數(shù)據(jù)誤刪的情況。因此，針對(duì)該場景，杉巖對(duì)象存儲(chǔ)的建議操作方法如下：

1. 管理員為某工序創(chuàng)建對(duì)象用戶A；

2. 對(duì)象用戶A創(chuàng)建相關(guān)的桶；

3. 對(duì)象用戶A創(chuàng)建擁有讀寫權(quán)限的子用戶RW-USER，提供給機(jī)臺(tái)上傳數(shù)據(jù)；

4. 對(duì)象用戶A創(chuàng)建一個(gè)擁有只讀權(quán)限的子用戶RO-USER，提供給質(zhì)檢人員；

5. 使用RW-USER及RO-USER用戶登錄數(shù)據(jù)管理系統(tǒng)進(jìn)行相關(guān)數(shù)據(jù)的查詢及搜索。

在工業(yè)視覺質(zhì)檢數(shù)據(jù)存儲(chǔ)場景，機(jī)臺(tái)操作員或質(zhì)檢相關(guān)人員通過子用戶權(quán)限管理功能，可安全且靈活地調(diào)取相關(guān)的數(shù)據(jù)進(jìn)行查驗(yàn)，完美地解決了相關(guān)的權(quán)限管理難題。

價(jià)值總結(jié)

在數(shù)字時(shí)代，數(shù)據(jù)是企業(yè)最重要的資產(chǎn)，數(shù)據(jù)安全是每個(gè)企業(yè)不可忽視的重要課題。對(duì)IT管理員來說，對(duì)數(shù)據(jù)做好相應(yīng)的權(quán)限管控是最基礎(chǔ)的要求，如果因?yàn)樵綑?quán)問題導(dǎo)致數(shù)據(jù)丟失則可能造成無法估量的損失。

杉巖數(shù)據(jù)創(chuàng)新推出的子用戶權(quán)限管理功能配合對(duì)象存儲(chǔ)桶策略及訪問控制ACL對(duì)用戶的權(quán)限做了細(xì)化的管理，避免了因越權(quán)問題導(dǎo)致的風(fēng)險(xiǎn)，很好地幫助企業(yè)用戶解決了數(shù)據(jù)安全高效管理與靈活共享無法兼得的難題，為企業(yè)的數(shù)據(jù)安全保駕護(hù)航。

審核編輯黃昊宇