云安全
云安全概述
阿里云概述
亚马逊AWS概述
云计算导论
云计算概述
云计算的关键技术
虚拟化
分布式文件系统
云存储
数据处理
并行计算
OpenStack
容器
Kubernetes概述
Serverless
Hadoop
云原生
云数据中心
微服务
对象存储OSS
云存储
对象存储
对象文件(Object)
存储桶(存储空间)
通过外网访问OSS
存储桶漏洞
STS访问OSS
权限与访问控制
访问控制
Bucket&RAM Policy
预签名
Docker
01docker概述
02docker安装
03目录结构
04基础操作
05底层原理【理论】
06底层原理【实践】
07DockerFile
08容器反查Dockerfile
09Docker 逃逸
-
+
首页
存储桶(存储空间)
存储桶(Bucket)是云存储服务(如 AWS S3、阿里云 OSS、腾讯云 COS)中最基础的存储容器,用于统一管理和组织海量非结构化数据(如图片、视频、日志、备份文件等)。 存储空间(Bucket)是对象存储OSS中用于存储文件(Object)的基础容器。Bucket内部为扁平化结构,所有Object直接存储于其中,不存在传统文件系统的目录层级。  虽然结构扁平,但通过在Object命名中使用正斜线/进行分隔(例如 folder/file.jpg),可以在OSS控制台和OSS Browser等图形化工具中模拟出文件夹效果。 ## 核心概念 > 地域 地域指数据中心的物理位置,Bucket创建后地域不可更改。 > 存储类型 存储类型应根据数据访问频率选定,这直接关系到存储成本。若不确定,可先选择标准存储,后续通过生命周期自动将不常访问的数据转为成本更低的存储类型。 | 存储类型 | 核心特点 | 典型适用场景 | | --------------------- | ----------------------------------------- | -------------------------- | | 标准存储 | 支持频繁读写,无最短存储时间。 | 网站、App等动态业务数据。 | | 低频访问 | 读写频率较低,有30天最短存储周期。 | 监控、日志、企业备份数据。 | | 归档存储 | 极少访问(年/次),有60天最短存储周期。 | 长期归档、医疗影像。 | | 冷归档/深度冷归档存储 | 几乎不访问,有180天最短存储周期,需解冻。 | 合规性数据、历史影像资料。 | > 存储冗余类型 决定数据副本数量和可靠性,详情请参见存储冗余类型。LRS可升级为ZRS,但ZRS不能降级为LRS。 | 冗余类型 | 数据可靠性 | 适用场景 | | --------------- | ----------------------- | ------------ | | LRS(本地冗余) | 99.999999999%(11个9) | 开发测试环境 | | ZRS(同城冗余) | 99.9999999999%(12个9) | 生产环境 | ## 创建存储空间(Bucket) 同一阿里云账号在同一地域内创建的Bucket总数不能超过100个,单个Bucket的容量没有限制。 存储空间(Bucket)是OSS中存放文件的基本容器,容量无限,可以弹性扩展。 Bucket 的核心基础信息,创建后不可更改。 Bucket名称:全局唯一。建议按照部门或业务标识命名,便于识别和管理。例如:hr-documents。 地域:决定数据的物理存储位置,建议按以下优先级选择: 1. 合规优先:首先选择符合法规要求的地域。 2. 性能优先:选择距离目标用户最近的地域,降低网络延迟;若数据通过阿里云产品(例如 ECS)访问,建议选择相同地域,可免内网流量费用,同时减少跨地域传输延迟。 3. 功能支持:参考[新功能发布记录](https://help.aliyun.com/zh/oss/release-notes)确认地域是否支持所需功能。 4. 成本平衡:在满足以上条件的前提下,选择[资费](https://www.aliyun.com/price/product?spm=a2c4g.11186623.0.0.307618872Mebgg#/oss/detail/ossbag),更优惠的地域。 仅设置Bucket 名称和地域创建时,其余配置将自动使用默认值:标准存储、同城冗余、私有权限。阻止公共访问在控制台创建时开启,ossutil/SDK/API 创建时关闭。其他可选配置均为关闭状态。 在[OSS管理控制台](https://oss.console.aliyun.com/bucket?spm=a2c4g.11186623.0.0.323173a4Us5Hdm)的 Bucket 列表页面,单击创建 Bucket。   ## 存储类型 OSS 提供标准、低频、归档、冷归档、深度冷归档五种存储类型,默认为标准存储。这些类型成本递减但访问限制递增,用于适配不同访问频率的数据。 Object默认继承Bucket的存储类型。虽然Bucket存储类型创建后无法修改,但内部Object可通过生命周期自动转换存储类型以优化成本。 标准存储(Standard): 适合单文件月访问>1次的活跃数据,支持实时访问。不确定数据访问频率时的首选,后续可通过生命周期规则自动降级到更低成本的存储类型。 低频访问存储(IA): 适合单文件月访问≤1次的温数据,如备份文件、操作日志。支持实时访问但有30天最短存储周期限制,提前删除仍按30天计费。不适合临时或测试数据。 归档存储(Archive): 适合单文件90天访问<1次的冷数据。支持归档直读实时访问,也可选择先解冻再读取(解冻约1分钟),有60天最短存储周期。 解冻:将数据恢复为可访问状态,需等待一定时间。 冷归档存储(ColdArchive): 适合单文件年访问<1次的数据。读取需先解冻,耗时1~12小时,成本更低。 深度冷归档存储(DeepColdArchive): 最低成本选项,适合单文件年访问<1次的数据。解冻时间12/48小时,不建议直接作为Bucket类型创建,更适合通过生命周期规则将数据自动转换至此类型。 ## 存储冗余类型 决定数据的容灾能力,默认为同城冗余存储。本地冗余存储可升级为同城冗余,但不支持反向转换。 同城冗余存储(ZRS)- 生产环境推荐:将数据存储在同一地域的多个可用区(AZ),能够在整个可用区发生故障时保障业务的持续访问,具备更高的数据持久性和服务可用性。 本地冗余存储(LRS)- 非核心或测试数据:将数据冗余存储在单个可用区内,成本更低。可抵御硬件故障,但无法在可用区故障时保障数据访问。 ## 阻止公共访问 OSS的全局安全策略,用于防止意外的公开授权。开启后只能创建私有权限的Bucket,无法为Bucket设置公共读、公共读写ACL、或公共访问语义的Bucket Policy。 OSS控制台默认开启阻止公共访问。 如果业务有公共访问需求,可在Bucket创建后手动关闭阻止公共访问,但出于安全考虑不建议关闭。 ## 读写权限 决定谁能访问 Bucket 内的数据,默认私有权限,创建后可随时修改。Object默认继承Bucket访问权限,支持单独设置权限。 > 私有(private)- 强烈推荐 默认且最安全的设置,仅限Bucket所有者或通过 RAM策略、Bucket策略授权的用户访问。建议始终保持此设置,如需授权其他用户访问,请参见权限与访问控制。 > 公共读(public-read)- 谨慎使用 允许互联网用户直接下载文件,可能导致数据外泄或费用激增。 > 公共读写(public-read-write)- 强烈不推荐 允许任意用户访问和修改文件,风险极高,仅限公共资源仓库等特殊场景配置,常规场景严禁使用。 > 值得注意的是 出于安全考虑,[OSS 控制台](https://oss.console.aliyun.com/overview)默认开启阻止公共访问,仅支持创建私有权限的Bucket。 如需改为 公共读 或 公共读写,请按以下步骤操作: 1. 单击目标Bucket名称进入该Bucket。 2. 在左侧导航栏选择 权限控制 > 阻止公共访问,关闭该策略。 3. 切换至 读写权限 页签,单击 设置。 4. 按引导修改 Bucket 的读写权限为公共读或公共读写。 ## 可选功能配置 可在创建时或创建后按需配置。 版本控制:防止数据被误删或覆盖。上传同名文件时自动保留历史版本而不是直接覆盖,误操作后可一键恢复。详见版本控制。 服务端加密:自动加密静态数据。OSS在数据写入时加密、读取时解密,建议至少启用“OSS完全托管”。详见服务器端加密。 资源组:适用于多团队协作。可按部门或项目对 Bucket 分组,实现独立的权限管理和成本核算。详见使用资源组。 实时日志查询:开启后可在控制台快速查询和分析访问日志,了解谁在什么时候访问了哪些文件,便于排查异常访问或进行用户行为分析。详见实时日志查询。 定时备份:支持自动化的数据备份。详见为Bucket设置定时备份。 HDFS 服务:适用于数据湖场景。让 Spark 等大数据框架直接分析 OSS 数据,无需数据搬迁。详见什么是OSS-HDFS服务。 Bucket标签:便于批量管理与成本分析。通过键值对标签(如部门:研发)对 Bucket 进行分类。详见管理存储空间标签。 ## 创建成功   ## 访问上传的文件 当我们上传的是图片时,可以选择公共读,再点击上传文件。   上传后的文件连接为:https://maolintest.oss-cn-beijing.aliyuncs.com/101.jpg,显示访问被拒绝   出于安全考虑,[OSS 控制台](https://oss.console.aliyun.com/overview)默认开启阻止公共访问,仅支持创建私有权限的Bucket。 如需改为 公共读 或 公共读写,请按以下步骤操作: 1. 单击目标Bucket名称进入该Bucket。 2. 在左侧导航栏选择 权限控制 > 阻止公共访问,关闭该策略。 3. 切换至 读写权限 页签,单击 设置。 4. 按引导修改 Bucket 的读写权限为公共读或公共读写。 > 关闭阻止公共访问。   > 再访问权限控制--读写权限,点击设置。  点击公共读--保存。 注意:公共读和公共读写会产生预期外的公网流量费用  > 再次访问上传后的文件链接。 访问文件链接就进行了下载,官方就这样解释的:   访问使用 OSS 默认域名生成的文件 URL 会触发浏览器默认强制下载。 如需在浏览器中通过文件URL在线预览文件,请为 OSS 默认域名[绑定自定义域名](https://help.aliyun.com/oss/user-guide/manage-a-domain),然后使用自定义域名访问文件。
毛林
2025年10月27日 20:51
转发文档
收藏文档
上一篇
下一篇
手机扫码
复制链接
手机扫一扫转发分享
复制链接
Markdown文件
PDF文档(打印)
分享
链接
类型
密码
更新密码