物件儲存看起來像一個可以無限放檔案的地方,但許可權設計一旦混亂,風險會長期存在。公開圖片、下載資料、使用者上傳附件、影片原始檔、日誌歸檔和備份副本的訪問方式不同,不應只用一個“是否公開”的開關管理。
先按用途分組,而不是按檔案格式分組
同樣是圖片,官網 logo 可能是公開資源,客戶上傳的證件圖片則是敏感檔案;同樣是影片,宣傳片可以公開播放,課程原始檔可能只供轉碼系統訪問。許可權應依據業務用途、訪問物件和保留要求設計,而不是依據字尾名。
公開訪問也需要邊界
公開資源適合放在獨立路徑或桶中,並通過 CDN 分發。仍然需要控制寫入許可權、快取頭、跨域規則和刪除許可權。真正危險的不是公開讀取,而是讓任何人或過多內部成員擁有寫入和覆蓋能力。
私有訪問需要可撤銷
私有附件、下載資料和臨時交付檔案通常需要簽名 URL、有效期、訪問範圍和日誌記錄。不要把長期有效連結發給客戶,也不要把內部管理賬號當作下載憑據。許可權越細,交接和撤銷越要有記錄。
| 資產型別 | 訪問方式 | 重點風險 |
|---|---|---|
| 公開靜態資源 | CDN 與只讀公開訪問 | 誤寫入、快取汙染、刪除 |
| 受控下載 | 簽名 URL 或登入後獲取 | 連結長期有效、轉發擴散 |
| 原始檔 | 僅處理系統和授權人員訪問 | 洩露、覆蓋、版本混亂 |
| 備份歸檔 | 隔離賬號與受控恢復 | 誤刪、未加密、恢復不可用 |
備份桶尤其不能順手公開
備份包含的往往不是單個頁面,而是配置、資料庫、日誌和上傳檔案。備份路徑應限制讀取和刪除,保留恢復測試記錄,並與公開資源分開。物件儲存的成本優勢只有和許可權、生命週期、審計一起設計時才真正成立。