在文件存储NAS中,权限组是一个白名单机制。为了确保您的数据访问安全,您可以通过配置自定义权限组,为不同的IP地址或网段授予不同的访问权限,以满足不同的访问场景。
背景信息
初始情况下,每个阿里云账号会自动生成一个默认权限组,默认权限组允许任何IP地址以最高权限(可读写且不限制Linux系统用户对文件系统的访问权限)访问文件系统。
默认权限组仅在专有网络VPC内生效,不会被公网访问到。默认权限组不支持删除或修改。
如果默认权限组不符合您的业务需求,您也可以自定义权限组,为IP地址或网段授予不同的访问权限,以满足不同的访问场景。
使用限制
-
一个阿里云账号在单个地域内最多可以创建20个权限组。
-
一个权限组最多支持添加300个规则。
-
仅支持创建专有网络类型的权限组。
操作步骤
为了最大限度保障您的数据安全,建议您谨慎添加权限组规则,仅为必要的IP地址或网段授权。
-
创建权限组。
-
在左侧导航栏,单击。
-
在页面上方,选择地域。
-
在权限组页面,选择通用型NAS或者极速型NAS页签,单击创建权限组。
-
在创建权限组对话框中,配置相关信息。
重要参数说明如下所示。
参数
说明
名称
设置权限组名称。限制:
-
必须以大小写字母开头。
-
可以包含英文字母、数字、下划线(_)或者短划线(-)。
-
不支持中文字符。
-
权限组名称不能与已存在的权限组名称重复。
网络类型
仅支持专有网络。
说明自2022年11月21日起,通用型NAS文件系统不支持新建经典网络类型的权限组。2022年11月21日前创建的经典网络类型的权限组仍可正常使用。
-
-
-
为权限组添加规则。
-
找到刚创建的权限组,单击操作列的管理规则,然后单击创建规则,配置相关规则信息。
参数
说明
授权类型
本条规则的授权类型。取值包括IPv4访问地址和IPv6访问地址。
说明IPv6访问地址仅支持极速型NAS。
授权地址
本条规则的授权对象。
读写权限
允许授权对象对文件系统进行只读操作或读写操作。包括只读和读写。
用户权限
是否限制授权对象的Linux系统用户对文件系统的访问权限。SMB文件系统不支持该权限项,配置后不生效。
-
所有用户不匿名(no_squash):允许使用root用户访问文件系统。
-
root用户匿名(root_squash):以root用户身份访问时,映射nobody用户。
-
所有用户匿名(all_squash):无论以何种用户身份访问,均映射为nobody用户。
nobody用户是Linux系统的默认用户,只能访问服务器上的公共内容,具有低权限,高安全性的特点。
优先级
当同一个授权对象匹配到多条规则时,高优先级规则将覆盖低优先级规则。可选择1~100的整数,1为最高优先级。
说明若多条规则中包含重叠的网段,且这些规则权限不同、优先级相同,则先配置的规则生效,请尽量避免重叠网段的配置。
-
-
单击确定。
-
登录NAS控制台。
其他操作
在权限组页面,您可以进行如下操作。
|
操作 |
说明 |
|
查看权限组及详情 |
查看当前区域已创建的权限组及相关信息,包括类型、规则数目、绑定文件系统数目等信息。 |
|
编辑权限组 |
找到目标权限组,单击编辑,可编辑权限组的描述信息。 |
|
删除权限组 |
找到目标权限组,单击删除,删除权限组。 |
|
查看权限组规则 |
找到目标权限组,单击管理规则,查看此权限组下的规则。 |
|
编辑权限组规则 |
单击管理规则,找到目标权限组规则,单击编辑,可修改授权地址、读写权限,用户权限和优先级。 |
|
删除权限组规则 |
单击管理规则,找到目标权限组规则,单击删除,删除权限组规则。 |
相关文档
如果您想要保护传输过程中的数据安全,您可以通过传输加密功能保护您的ECS实例与NAS服务之间网络传输链路上的数据安全,确保数据在传输过程中不被窃取或纂改。具体操作,请参见NFS协议文件系统传输加密或SMB协议文件系统传输加密。