对象存储看起来像一个可以无限放文件的地方,但权限设计一旦混乱,风险会长期存在。公开图片、下载资料、用户上传附件、视频源文件、日志归档和备份副本的访问方式不同,不应只用一个“是否公开”的开关管理。

对象存储按公开内容、受控内容和备份归档分层
权限模型应先按资产用途分层,再设置访问和生命周期规则。

先按用途分组,而不是按文件格式分组

同样是图片,官网 logo 可能是公开资源,客户上传的证件图片则是敏感文件;同样是视频,宣传片可以公开播放,课程源文件可能只供转码系统访问。权限应依据业务用途、访问对象和保留要求设计,而不是依据后缀名。

公开访问也需要边界

公开资源适合放在独立路径或桶中,并通过 CDN 分发。仍然需要控制写入权限、缓存头、跨域规则和删除权限。真正危险的不是公开读取,而是让任何人或过多内部成员拥有写入和覆盖能力。

私有访问需要可撤销

私有附件、下载资料和临时交付文件通常需要签名 URL、有效期、访问范围和日志记录。不要把长期有效链接发给客户,也不要把内部管理账号当作下载凭据。权限越细,交接和撤销越要有记录。

资产类型访问方式重点风险
公开静态资源CDN 与只读公开访问误写入、缓存污染、删除
受控下载签名 URL 或登录后获取链接长期有效、转发扩散
源文件仅处理系统和授权人员访问泄露、覆盖、版本混乱
备份归档隔离账号与受控恢复误删、未加密、恢复不可用

备份桶尤其不能顺手公开

备份包含的往往不是单个页面,而是配置、数据库、日志和上传文件。备份路径应限制读取和删除,保留恢复测试记录,并与公开资源分开。对象存储的成本优势只有和权限、生命周期、审计一起设计时才真正成立。