对象存储 sts，对象存储oss是存什么的

***：对象存储OSS是一种云存储服务，用于存储各类数据，如图片、视频、文档等各种类型的文件。它具有高可靠性、高安全性、低成本等特点，能满足不同规模企业和开发者的数据存储需求。而STS（Security Token Service）是一种安全令牌服务，与对象存储相关时，可用于为临时访问OSS资源的用户提供具有有限权限的临时安全令牌，增强访问的安全性与灵活性。

本文目录导读：

1. 对象存储OSS概述
2. OSS与STS的协同工作

《深入解析对象存储OSS中的STS：存储与安全的完美结合》

对象存储OSS概述

对象存储OSS（Object Storage Service）是一种云存储服务，它提供了海量、安全、低成本、高可靠的云存储服务，在当今数字化时代，各种类型的数据都在不断增长，从企业的业务数据、用户的个人文件到物联网设备产生的海量数据等，OSS为存储这些不同类型的数据提供了理想的解决方案。

（一）存储的内容类型

1、静态资源

网页相关资源

- 在互联网应用中，网页的HTML、CSS和JavaScript文件是最常见的存储内容，一个大型的电子商务网站，其首页的HTML文件定义了页面的结构，CSS文件控制页面的样式，JavaScript文件实现交互功能，这些文件被存储在OSS中后，可以快速地被全球各地的用户浏览器访问，当网站进行版本更新时，只需将新的文件上传到OSS替换旧文件，就能实现网页的更新，无需对整个服务器架构进行大规模调整。

图片和视频资源

- 对于图片分享网站或视频流媒体平台，OSS是存储海量图片和视频的绝佳选择，以图片为例，无论是高分辨率的摄影作品、产品图片还是用户的头像图片，都可以存储在OSS中，视频方面，从短视频到长视频电影，OSS的大容量存储和高速访问能力能够满足视频平台的需求，一个视频点播平台可以将其视频文件存储在OSS中，通过内容分发网络（CDN）与OSS的集成，实现视频的快速缓冲和流畅播放。

2、备份数据

- 企业为了确保数据的安全性和可恢复性，需要定期对重要数据进行备份，OSS可以作为一个可靠的异地备份存储库，一家金融企业每天都会产生大量的交易数据，这些数据不仅存储在本地的数据中心，还会备份到OSS中，如果本地数据中心发生灾难，如火灾、地震等，企业可以从OSS中恢复数据，确保业务的连续性，OSS的存储成本相对较低，适合长期存储大量的备份数据。

3、大数据和日志文件

- 在大数据应用场景中，企业会收集和分析大量的日志文件来获取用户行为数据、系统性能数据等，这些日志文件通常是海量的、半结构化或者非结构化的，OSS可以存储这些大数据文件，并且可以与大数据分析工具（如Hadoop、Spark等）集成，一个互联网公司的服务器每天会产生大量的访问日志，这些日志被存储在OSS中，然后数据分析师可以使用大数据分析框架从OSS中读取日志文件进行分析，挖掘用户的访问模式、热门页面等有价值的信息。

二、对象存储STS（Security Token Service）的作用

（一）临时访问权限的授予

1、原理

- STS为用户或应用程序提供了一种获取临时安全凭证的机制，在传统的OSS访问中，如果直接使用长期的访问密钥（Access Key和Secret Key），存在安全风险，一旦密钥泄露，恶意用户就可以无限制地访问OSS中的资源，而STS通过生成临时的安全凭证，包括临时的访问密钥、安全令牌和过期时间，这些临时凭证具有较短的有效期，例如几个小时到几天不等。

- 当一个移动应用需要访问OSS中的用户图片资源时，应用可以向STS服务请求临时凭证，STS根据应用的身份验证（可以是基于用户登录状态、设备标识等），生成临时凭证并返回给应用，应用使用这些临时凭证在有效期内访问OSS中的特定资源，如该用户在OSS中存储的个人照片文件夹。

2、应用场景 - 第三方应用集成

- 在企业级应用中，经常会有第三方合作伙伴需要访问企业OSS中的部分资源，一家企业与一家数据分析公司合作，数据分析公司需要访问企业OSS中的部分销售数据进行分析，企业可以通过STS授予数据分析公司临时访问权限，而无需将长期的访问密钥提供给合作伙伴，这样既满足了合作需求，又保障了企业数据的安全，数据分析公司在规定的时间内（由临时凭证的有效期决定），使用临时凭证访问指定的销售数据文件进行分析操作。

（二）细粒度的访问控制

1、策略定制

- STS可以基于策略（Policy）来授予临时访问权限，这些策略可以非常精细地定义用户或应用程序能够访问的OSS资源、操作类型等，可以制定一个策略，允许某个临时用户只对OSS中的某个特定的存储桶（Bucket）下的特定文件夹进行读取操作，而不能进行写入或删除操作，这种细粒度的访问控制有助于在复杂的多用户、多应用环境下保障数据的安全性和合规性。

- 假设一个企业有多个部门，不同部门对OSS中的资源有不同的需求，市场部门可能只需要读取OSS中的宣传资料图片，而研发部门可能需要读写某些测试数据文件，通过STS的策略定制，可以为市场部门的员工生成临时凭证，其策略限制只能对存放宣传资料图片的文件夹进行读取操作；为研发部门的员工生成的临时凭证则允许对特定的测试数据文件夹进行读写操作。

2、与身份验证系统的结合

- STS可以与企业内部的身份验证系统（如LDAP、Active Directory等）集成，当企业员工通过内部身份验证系统登录后，如果需要访问OSS资源，STS可以根据员工的身份信息（如部门、职位等）生成相应的临时访问凭证，并按照预先设定的策略授予访问权限，这样就实现了从企业内部身份管理到OSS资源访问的无缝对接，提高了企业数据管理的整体安全性和效率。

（三）安全增强

1、减少长期密钥暴露风险

- 由于STS提供临时凭证，大大减少了长期访问密钥暴露的机会，在一个大型企业中，有许多开发人员、运维人员可能需要访问OSS资源，如果都使用长期密钥，密钥管理将变得非常复杂，而且安全风险极高，通过使用STS，开发人员在开发测试阶段可以获取临时凭证来访问OSS中的测试资源，运维人员在进行临时的系统维护时也可以获取临时凭证进行必要的操作，而不需要使用长期密钥，从而降低了密钥泄露导致的数据安全风险。

2、审计与追溯

- STS生成的临时凭证具有可审计性，企业可以通过OSS的日志系统和STS的相关记录，追踪临时凭证的使用情况，如果发现OSS中的某些资源被异常访问，可以通过查看STS凭证的使用记录，确定是哪个用户或应用使用了临时凭证进行访问，以及在什么时间进行了访问操作，这有助于企业及时发现安全漏洞并采取相应的措施进行防范。

OSS与STS的协同工作

（一）访问流程

1、用户/应用请求临时凭证

- 当一个用户或应用程序需要访问OSS资源时，首先向STS服务发送请求，这个请求可以包含用户的身份标识、请求的资源范围、操作类型等信息，一个移动应用中的用户想要上传一张照片到OSS中的个人相册，应用会向STS发送请求，说明这是一个来自该用户的上传操作请求，目标是该用户在OSS中的个人相册存储桶。

2、STS验证与凭证生成

- STS收到请求后，会根据预先配置的身份验证机制对请求进行验证，如果验证通过，STS会根据设定的策略生成临时安全凭证，包括临时的访问密钥、安全令牌和过期时间，对于上述移动应用的请求，STS验证用户身份（可能是基于之前的登录状态）后，根据针对该用户相册的访问策略，生成临时凭证，允许该用户在一定时间内对个人相册存储桶进行上传操作。

3、用户/应用使用临时凭证访问OSS

- 用户或应用程序收到STS生成的临时凭证后，使用这些凭证向OSS发送请求，进行相应的操作，移动应用使用临时的访问密钥和安全令牌，将用户的照片上传到OSS中的个人相册存储桶，OSS在收到请求后，会验证临时凭证的有效性，包括检查安全令牌是否合法、是否在有效期内以及是否符合访问策略等，如果验证通过，OSS会执行相应的操作，如完成照片的存储。

（二）资源管理与权限更新

1、存储桶和对象的管理

- 在OSS中，存储桶（Bucket）是存储对象（Object）的容器，企业可以根据业务需求创建多个存储桶，并对每个存储桶设置不同的访问权限，一个企业可以创建一个存储桶用于存储公开的产品宣传资料，这个存储桶可以设置为公共读权限，方便客户访问；而另一个存储桶用于存储企业内部的机密文件，则设置为只有企业内部特定用户通过STS临时凭证访问的权限。

- 当企业的业务发生变化时，例如推出了新的产品线，可能需要更新存储桶中的对象内容或者修改存储桶的访问权限，通过OSS的管理界面或者API，可以方便地对存储桶和其中的对象进行管理，如果涉及到权限的修改，特别是与STS相关的权限，例如需要为新的合作伙伴提供临时访问权限或者调整内部员工的访问策略，企业可以在STS服务中更新相应的策略，然后重新生成临时凭证，以确保新的访问需求得到满足的同时保障数据安全。

2、权限的动态调整

- STS的权限可以根据企业的业务需求进行动态调整，在企业的促销活动期间，可能需要临时扩大某些用户对OSS中促销资料存储桶的访问权限，允许他们进行更多的操作（如修改促销图片等），企业可以通过修改STS的策略，为相关用户生成新的临时凭证，使他们能够在促销活动期间按照新的权限进行操作，活动结束后，再恢复原来的权限设置，这种动态调整权限的能力使得企业能够灵活地应对各种业务场景，同时始终保持对OSS资源的安全管理。

对象存储OSS作为一种强大的云存储解决方案，可以存储各种各样的数据，从静态资源到备份数据和大数据文件等，而STS则为OSS的安全访问提供了重要保障，通过授予临时访问权限、实现细粒度的访问控制和增强安全等方面的功能，使得OSS在企业和互联网应用中的应用更加安全、灵活和高效，OSS与STS的协同工作，为用户提供了从资源存储到安全访问的一站式解决方案，满足了不同场景下的数据存储和安全需求，在当今数字化快速发展的时代具有重要的意义。