文档

高级管理FAQ

什么时候应该开启生命周期管理功能?

当文件系统中包含每月访问频率低于2次的文件时,可以开启通用型NAS生命周期管理功能,符合生命周期管理策略的文件将自动转储至低频介质,采用低频介质计费方式,从而降低存储成本。

为什么我的文件系统不支持生命周期管理功能?

目前仅支持2020年06月01日后创建的通用型NAS文件系统开启生命周期管理功能并配置生命周期管理策略。已开启数据加密的文件系统暂不支持生命周期管理功能。

如何设置生命周期管理策略?

您可以通过NAS控制台或OpenAPI设置生命周期管理策略。具体操作,请参见设置生命周期策略生命周期管理API

如何关闭生命周期管理功能?

启用生命周期管理功能,您可以将通用型NAS文件系统中长期未访问的冷数据转存至成本更低的低频介质中。

如果您不想在使用生命周期管理功能,可参照以下步骤进行关闭:

  1. 登录NAS控制台

  2. 在左侧导航栏,选择生命周期管理 > 生命周期策略列表

  3. 在顶部菜单栏,选择地域。

  4. 在生命周期策略列表的操作列,单击删除,根据提示信息删除策略。

    删除策略后,符合生命周期管理策略的数据将不会再转存至低频介质中。如果删除策略前,数据已经转储到低频介质,数据仍会继续保存在低频介质存储中,并将按照低频介质存储费用收取存储费用。

如果您是想将转存至低频介质中的数据取回通用型NAS存储空间,请参见创建数据取回任务

如何选择生命周期管理策略,应该配置在哪个目录上?

为了方便您选择生命周期管理策略和需配置的目录,阿里云文件存储NAS提供了NAS分层策略分析工具。您可以使用该工具设置的生命周期管理策略,对指定目录及该目录下的子目录进行扫描并按照冷数据量降序排序,将指定目录中冷数据量最高的几个子目录打印出来。根据冷数据量来设置生命周期管理策略和需配置目录。更多信息,请参见使用指南

所有文件都可以转储到低频介质中吗?

一个文件被转储到低频介质中需要满足以下三个条件:

  • 文件所在目录配置了生命周期管理策略。

  • 文件大小需在64 KiB~4.88 TiB范围内。

  • 文件的最近访问时间需符合生命周期管理策略。

    创建生命周期管理策略时,可以配置管理规则,将距最近一次访问14天、30天、60天、90天以上的文件转换为低频存储文件。生命周期管理会依照文件的访问时间(即atime)来进行判断。

    • 以下操作会更新访问时间:

      • 读取文件

      • 写入文件

    • 以下操作不会更新访问时间:

      • 重命名一个文件

      • 修改文件的用户(user)、用户组(group)、模式(mode)等文件属性

如果一个目录配置了多项生命周期管理策略,文件系统会执行哪一项策略?

如果一个目录配置了多项生命周期管理策略,该目录下的文件只要满足任何一项生命周期管理策略的管理规则,就会被转储到低频介质中。

如果一个目录及其上层目录配置了不同的生命周期管理策略,文件系统会执行哪一项策略?

文件数据满足其任一策略规则目录下文件即会转储至低频介质中。

例如:当前目录配置了14天未访问转储的生命周期管理策略,其父目录或更上层目录配置了60天未访问转储的生命周期管理策略。那么目录中的14天未访问的文件会被转储至低频介质中,而父目录或更上层目录策略在扫描当前目录时,会跳过已转储至低频介质的文件。

生命周期管理策略是对目标路径所有数据生效吗?

是的。目标目录的所有文件数据只要满足生命周期管理策略,即会自动转储至低频介质中。

设置生命周期管理策略后,文件多久会被转储到低频介质?

转储时间会和文件系统的大小和转储数据量有关,功能开启后,符合生命周期管理策略的文件,第一次转储最快2个小时完成,一般在24小时内完成。后续周期性转储会在一周内某个时间完成。

目录重命名会影响生命周期管理策略执行吗?

生命周期管理策略中关联的目录被重命名后,目录下的文件将不再受原生命周期管理策略约束。已经转储至低频介质中的文件仍将维持存储状态。

当目录重命名后重新配置生命周期管理策略,则该目录下的文件会受该生命周期管理策略约束,符合生命周期管理规则的文件会被转储至低频介质中。

删除生命周期管理策略会有什么影响?

被删除的生命周期管理策略所关联目录下的文件将不会被转储至低频介质中。关联目录下已经转储至低频介质中的文件仍将维持当前存储状态。

已设置生命周期管理策略的目录删除策略后,重新设置新的生命周期管理策略,会重复转储文件吗?

不会。重新配置生命周期管理策略后,该策略通过检查机制跳过目录下已经被转储到低频介质中的文件,确保不会重复转储。

文件存储在低频介质中可以正常读写吗?

一个文件系统内的低频介质中的文件和其他普通文件一样可以被正常读写访问。

我的文件系统中有哪些文件存储在低频介质?

您可以通过NAS控制台或OpenAPI查询存储在低频介质中的文件。具体操作,请参见查看低频介质存储文件ListDirectoriesAndFiles

低频介质中文件的读写延时比通用性能型NAS、通用高级型NAS和通用容量型NAS高吗?

第一次读低频介质中存储文件内容时可能延时会相对较高,但同一个文件内容在后续的一定时间内的读延时会与通用性能型NAS、通用高级型NAS或通用容量型NAS普通文件的读延时基本一致。

写低频存储文件的延时与写通用性能型NAS、通用高级型NAS或通用容量型NAS文件基本一致。

文件转储到低频介质中,怎么收费?

当文件转储到低频介质中,会采用低频介质的计费方式。更多信息,请参见通用型NAS计费

转储至低频介质的冷数据被访问后,会自动转为热数据吗?

不会。数据一旦转储至低频介质,将持续存储在低频介质中。访问低频介质中的冷数据将产生低频介质读写流量费用。更多信息,请参见通用型NAS计费

如果需要频繁访问低频介质中的数据时,建议您创建数据取回任务,将指定文件或目录中的数据取回至通用型NAS存储空间。执行数据取回任务将读取目标数据,并产生读流量费用。更多信息,请参见创建数据取回任务

如何创建低频介质存储文件的数据取回任务?

您可以通过NAS控制台或OpenAPI创建数据取回任务。具体操作,请参见创建数据取回任务CreateLifecycleRetrieveJob

执行数据取回任务是否影响文件的读写性能?

不影响,执行数据取回任务时可以正常读写数据。

执行数据取回任务收费吗?

收费。执行数据取回任务时,需要读取目标文件中的数据,将按照目标文件大小收取低频介质读流量费用。数据取回任务完成后,文件占用通用型NAS存储容量,将按照文件大小收取通用型NAS文件系统存储容量费用。更多信息,请参见通用型NAS计费

备份低频介质中存储的文件时,怎么收费?

当您使用云备份(Cloud Backup)服务备份通用型NAS低频介质中的文件时,云备份会收取相应的服务费用。更多信息,请参见计费方式与计费项

在备份低频介质中的文件时,云备份服务需要读取目标文件中的数据,文件存储NAS将收取低频介质访问流量费用。更多信息,请参见通用型NAS计费

安全服务扫描低频介质中存储的文件时,怎么收费?

当您使用安全服务(例如云安全中心的防勒索服务)扫描通用型NAS低频介质中的文件时,安全服务会读取目标文件中的数据,文件存储NAS将收取低频介质访问流量费用。更多信息,请参见通用型NAS计费

创建经典网络挂载点时为什么需要RAM授权?

因为NAS需要被授权来对访问您的文件系统的ECS实例进行验证。为确保您的文件系统数据安全,NAS只允许属于您自己的ECS实例通过经典网络挂载点访问您的文件系统,即文件系统实例的账号与ECS实例的账号相同。为了验证访问您的文件系统的ECS实例,您需要通过RAM授权授予NAS获取您的ECS实例列表的权限。

重要
  • 通过RAM授权后,NAS仅有权限调用DescribeInstances接口的权限,无法调用其他任何接口;NAS通过DescribeInstances接口获取的ECS实例列表不会做任何形式的记录,仅用于权限验证。

  • 通过RAM授权后,请勿删除或编辑RAM中的AliyunNASDefaultRole角色,否则可能遇到无法挂载或文件系统操作异常。

RAM用户拥有对文件系统完全控制权限后,进入文件系统列表为什么还报错误提示?

  • 问题现象:

    RAM用户在拥有对文件系统完全控制权限后,登录控制台进入文件系统列表页面时报错。错误提示

  • 问题原因:

    未配置标签权限。您还需要配置tag:ListTagKeys权限。

  • 解决方案:

    在自定义策略中为目标文件系统增加标签权限。具体操作,请参见使用RAM权限策略控制NAS访问权限

    {
        "Statement": [
            {
                "Effect": "Allow",
                "Action": "nas:*",
                "Resource": "acs:nas:*:*:filesystem/0ddaf487b2"
            },
            {
                "Effect": "Allow",
                "Action": "nas:CreateMountTarget",
                "Resource": "acs:vpc:*:*:vswitch/*"
            },
            {
                "Effect": "Allow",
                "Action": "cms:Describe*",
                "Resource": "*"
            },
            {
                "Effect": "Allow",
                "Action": "nas:DescribeFileSystems",
                "Resource": "*"
            },
            {
                "Effect": "Allow",
                "Action": "tag:ListTagKeys",
                "Resource": "*"
            }
        ],
        "Version": "1"
    }

为Windows AD域新用户添加SMB挂载目录权限的时间长,怎么办?

为新用户配置权限时,Windows会遍历目录下所有文件并配置权限。如果添加权限时间过长可能是网络延迟导致,您可以考虑使用命令行脚本并发执行,比如iacls或者PowerShell命令Set-Acl。更多信息,请参见icaclsSet-Acl

如何验证Keytab文件正确性?

在验证前,您需要重新生成一个Keytab密钥文件,并开启-mapuser参数。

重要

-mapuser选项开启后,将导致该user之前已配置好的其他文件系统挂载点的映射关系失效,即先mapuser映射用户someone到挂载点1,再mapuser映射用户someone到挂载点2,则someone实际只能访问挂载点2。因此验证时,建议您通过mapuser映射到不同的用户上去。

示例

ktpass -princ cifs/file-system-id.region.nas.aliyuncs.com@EXAMPLE.com -ptype KRB5_NT_PRINCIPAL -mapuser alinas@example.com -crypto All -out c:\nas-mount-target.keytab -pass tHeP****d123
  • example.com:表示搭建的AD域名。需要替换为小写的域名。

  • EXAMPLE.com:表示搭建的AD域名。需要替换为大写的域名。

操作步骤

  1. 登录一台具有kinit工具的Linux客户端。

    说明

    该客户端需要能够访问AD域或者将DNS配置为AD服务器。关于Linux客户端环境配置的具体操作,请参见Linux客户端以AD域用户身份挂载并使用SMB文件系统

  2. /etc/krb5.conf文件中添加如下内容。

     [realms]
     EXAMPLE.COM = {
         kdc = iZisovkei9i*****.example.com
         admin_server = iZisovkei9i****.example.com
     }
    [domain_realm]
     .example.com = EXAMPLE.COM
     example.com = EXAMPLE.COM

    其中,iZisovkei9i*****.example为AD域服务器,请根据实际值替换。

    说明

    如果您的客户端为CentOS操作系统,还需要配置以下内容。

        default_tgs_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
        default_tkt_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
        permitted_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
  3. 验证客户端是否能连接AD服务器。

    kinit aliyun.nas@example.com
    • 如果回显信息中含有账号信息,则表示客户端的kerberos配置正确。

    • 如果返回错误 KDC replay did not match expectations while getting initial credentials提示,请把/etc/krb5.conf中的AD域名全部替换为大写的域名。

  4. 可选:确认keytab文件中的挂载点为目标文件系统挂载点。

    klist -k -t <keytab文件名>.keytab
  5. 验证keytab文件。

    kinit -k -t <keytab文件名>.keytab cifs/file-system-id.region.nas.aliyuncs.com@EXAMPLE.COM

    其中,file-system-id.region.nas.aliyuncs.com为文件系统挂载点,请根据实际值替换。EXAMPLE.COM为搭建的AD域名,请根据实际值替换为大写的域名。

    如果未报错,则表示Keytab文件无误。

如何获取AccessKey?

  1. 使用阿里云账号登录控制台
  2. 将鼠标置于页面右上方的账号图标,单击AccessKey管理
  3. 安全提示对话框,选择使用阿里云账号AccessKey或RAM用户AccessKey。
    安全提示
    • 使用阿里云账号AccessKey
      1. 单击继续使用AccessKey
      2. AccessKey页面,单击创建AccessKey
      3. 安全验证对话框,选择验证方式并完成安全验证。
      4. 查看Secret对话框,查看AccessKey ID和AccessKey Secret。您可以单击下载CSV文件,下载AccessKey信息。或者单击复制,复制AccessKey信息。新建用户AccessKey
    • 使用RAM用户AccessKey
      1. 单击开始使用子用户AccessKey
      2. 系统自动跳转到RAM控制台用户页面,找到需要获取AccessKey的RAM用户。
        说明 如果没有RAM用户,请先创建RAM用户。具体操作,请参见创建RAM用户
      3. 单击用户登录名称。
      4. 认证管理页签下的用户AccessKey区域,单击创建AccessKey
      5. 安全验证对话框,选择验证方式并完成安全验证。
      6. 查看Secret页面,查看AccessKey ID和AccessKey Secret。可以单击下载CSV文件,下载AccessKey信息。或者单击复制,复制AccessKey信息。创建AccessKey
        说明
        • RAM用户的AccessKey Secret只在创建时显示,不提供查询,请妥善保管。
        • 若AccessKey泄露或丢失,则需要创建新的AccessKey,最多允许为每个RAM用户创建2个AccessKey。

如何使用NAS的服务器端加密功能?

您可以在创建文件系统时,根据使用场景配置加密方式为NAS托管密钥用户管理密钥。具体操作,请参见通过控制台创建通用型NAS文件系统通过控制台创建极速型NAS文件系统

未开启服务器端加密功能的文件系统能否使用该功能?

不能。目前仅支持在创建文件系统时开启服务器端加密功能。

已开启服务器端加密功能的文件系统能否关闭该功能?

不能。服务器端加密功能开启后立即生效,不支持关闭。

是否可以更改加密文件系统的密钥?

不可以。创建文件系统时已绑定密钥,不支持更改。

我该怎么选择NAS托管密钥和用户管理密钥?

两种密钥的管理方式均为将密钥托管给KMS服务,并采用信封加密机制防止未经授权的数据访问。

当您有特定安全需求需要使用自带密钥BYOK时,请选择用户管理密钥,其他场景推荐使用NAS托管密钥。

重要

使用用户管理密钥时,若该密钥被禁用或者删除,将导致使用该密钥进行加密的NAS文件系统无法访问。

NAS服务端加密支持SM4算法吗?

不支持。NAS服务器端加密密钥采用行业标准AES-256加密算法,保护文件系统静态数据,并通过信封加密机制防止未经授权的数据访问。服务器端加密密钥依托于KMS服务生成和管理。KMS服务能最大程度保障密钥的保密性、完整性和可用性。更多加密信息,请参见使用KMS信封加密在本地加密和解密数据

如果误操作禁用了CMK或误删了CMK,如何恢复对NAS文件系统中数据的访问?

  • 若禁用了CMK,请您重新启用目标CMK。

  • 若已对目标密钥执行计划删除操作,请您撤销删除密钥申请。具体操作,请参见计划删除密钥

  • 若删除了自带密钥BYOK的密钥材料,请您重新上传原密钥材料。具体操作,请参见导入密钥材料

  • 若目标CMK已删除,则无法修复,将无法访问文件系统中的数据。

开启服务器端加密功能后,每次访问数据需要应用进行解密操作吗?

不需要。数据加解密过程将由NAS服务自动处理,您不需要修改任何应用程序。

开启服务器端加密功能会影响文件系统的性能吗?

开启服务器端加密功能后,NAS会对写入文件系统的数据进行加密,读取文件系统中的数据时将自动解密。文件系统读写性能主要受每次读写操作中读写块的大小影响。相较于未开启服务器端加密的同规格类型文件系统,开启服务器端加密的文件系统性能约下降5%~25%。更多信息,请参见文件系统的读写性能与什么相关

文件系统开启服务器端加密且为静态加密类型,有效存储容量是否会缩小?

文件系统有效容量不会缩小。AES属于分组加密,遵循自动补位机制,静态加密自动补位的数据不计算在文件系统实例的有效存储容量中。

文件存储NAS是否支持inotify?

使用inotify配合rsync是一种常见的实时数据备份、同步方案,由于inotify本身的实现机制会导致NAS文件系统上inotifywait无法正常工作。

  • inotifywait原理简介

    inotifywait是Linux内核子模块inotify的用户态接口实现,inotify实现在VFS层。当文件操作到达VFS层时,inotify模块会将操作类型(创建、删除、属性改变等)和操作对象(文件名)反馈给用户态,用户态的inotifywait即可将本次操作信息输出给用户。

  • NAS上使用inotifywait存在的问题

    由于inotify是在Kernel的VFS层实现的,因此在NFS文件系统上,远程客户端对NFS文件系统的操作无法被本地Kernel所感知,inotify也就无法感知远程客户端的文件修改操作。因此,在NAS上使用inotifywait时,例如在客户端A和B同时挂载一个NAS文件系统,在客户端A启动inotifywait监听挂载目录,会出现以下现象:

    • 在客户端A上操作挂载目录中的文件,可以被inotifywait感知。

    • 在客户端B上操作挂载目录中的文件,inotifywait无法感知任何文件操作。

  • 替代方案

    替代方案为使用FAM。FAM是一个用来监听文件或目录的库,均在用户态实现,原理为在后台运行一个daemon,定时扫描目录,获取文件变化情况。但是使用FAM存在以下几个缺陷:

    • 需要用户在客户端编写程序调用FAM接口实现功能。

    • 对于文件数目很多的场景,使用该方案性能会较差,可能消耗大量资源,无法做到很好的实时性。

取消文件备份任务后,已备份的文件是否会被保留?

当您取消正在执行备份的任务后,该任务中所有已备份文件均会被清理,不会保留在备份库中。如果您有需要,请重新执行备份任务。

历史中已完成的任务中的已备份文件不会受到影响。

使用文件备份功能时,取消文件恢复任务后,已恢复的文件是否会被保留?

当您取消文件恢复任务后,该任务中已恢复的文件将保存在指定目录中,任务中其他文件将不再被恢复。

NAS文件备份的免费期是怎么计算的?

对任一NAS文件系统,您首次创建备份计划开始后的30天内,将可免费试用文件备份功能。

例如,2021年5月1日,您为文件系统A创建一个备份计划backup01,直至2021年5月30日,您都可以免费试用文件备份功能。试用到期后,您可以转付费继续使用或删除该备份计划。更多信息,参见混合云备份计费说明

我删除的文件都会暂存在回收站吗?

开启回收站后,被删除的文件或目录将暂存在回收站中,包括但不限于:

  • 您在ECS、容器等计算节点上手动删除的NAS中的文件。例如手动执行rm -f test01.text命令删除文件test01.text,文件test01.text将进入回收站。

  • 使用应用程序在计算节点上自动删除的NAS中的文件或目录。例如Python使用os.remove("test02.text")删除文件test02.text,文件test02.text将进入回收站。

  • POSIX rename触发删除的文件或目录。例如同一目录存在文件test_a.txt和文件test_b.txt,执行mv test_a.txt test_b.txt,文件test_b.txt将进入回收站。

  • 应用程序使用NAS文件产生的临时文件。例如执行vim命令编辑文件时,产生的.swp.swpx格式的文件将进入回收站。

  • 应用程序自动轮转的日志文件。例如使用Nginx配置了自动轮转日志且最多保留20个日志文件,当日志文件test.log.19轮转为日志文件test.log.20时,原日志文件test.log.20将进入回收站。

说明

如果仅覆写文件内容,不删除该文件,不会触发文件进入回收站。例如调用open()函数以w+模式打开文件并写入,原始文件不会进入回收站。

文件系统目录名已变更,执行回收站文件恢复操作能恢复至原目录吗?

执行文件恢复任务时可以选择将回收站内的文件恢复至原目录中,恢复操作以原目录的FileId作为标识,原目录重命名后同样会被正确识别,并恢复至重命名后的新路径。例如,开启回收站功能后,删除目录dir1中的文件file1.txt,然后将目录名称dir1改为了dir2,在NAS控制台回收站中可以查询到文件file1.txt在目录dir2中,执行文件恢复任务后,在计算节点查询文件file1.txt在目录dir2中。

从回收站中恢复文件和从备份服务中恢复文件,哪种方式恢复文件更快?

从回收站中恢复文件,文件存储NAS只需要迁移文件的元数据,不需要拷贝数据,因此从回收站恢复文件的速度会明显快于从备份服务中恢复文件的速度。

使用回收站是否收费?

使用回收站功能免费,但回收站中暂存的文件会按照原存储类型收取存储费用。例如,删除容量型文件系统的文件后,该文件将按照容量型存储容量单价计费;删除低频介质的文件后,该文件将按照低频介质存储容量单价计费。更多信息,请参见通用型NAS计费。暂存的文件删除前存储在容量型文件系统中则按照容量型存储容量单价计费。

怎么查询回收站中的文件?

您可以通过NAS控制台查询暂存在回收站中的文件及文件删除时间等信息。具体操作,请参见查询回收站中的文件

能否读写回收站中的文件?

只能查询已删除的文件或目录,不能读写已删除的文件或目录。当开启回收站功能后,已删除的文件将暂存在回收站中,如果您需要读写回收站中的文件,请执行文件恢复操作,恢复完成的文件可以正常读写。具体操作,请参见恢复回收站中的文件

通用型NAS文件删除以后,在回收站中是否还会占用NAS的文件数或者容量,导致提前达到NAS上限?

不会。暂存于回收站的文件不会占用NAS文件数,也不会占用容量,同时,也不会导致您的实例提前达到NAS文件系统实例的存储容量上限和文件数。关于NAS各存储类型支持的存储容量及文件数,请参见产品规格限制

说明

暂存于回收站的文件将按照原存储类型计费。更多信息,请参见通用型NAS计费

通过云监控API查看NAS监控数据,为什么报错?

可能是您设置的MetricName参数不正确。NAS支持通过云监控服务对文件系统实例性能和容量进行实时监控,支持的监控项如下表所示。如何通过云监控API查看NAS监控数据,请参见通过云监控API查看

  • 容量监控

    MetricName监控项单位说明
    AlignedSize通用型NAS数据量(不含低频介质)字节该文件系统在周期内使用的数据量,不包含低频介质数据量。
    SecondaryAlignedSize低频介质数据量字节开通生命周期管理之后,该文件系统在周期内存于低频介质的数据量。
    FileCount文件数该文件系统在周期内的文件数量,不包含目录。
    OfflineReadQuantity低频介质读流量字节开通生命周期管理之后,访问低频介质中的数据过程产生的读流量。
    OfflineWriteQuantity低频介质写流量字节开通生命周期管理之后,访问低频介质中的数据过程产生的写流量。
  • 性能监控

    MetricName监控项单位说明
    IopsRead读IOPS次/秒该文件系统在周期内每秒平均读IOPS次数。
    IopsWrite写IOPS次/秒该文件系统在周期内每秒平均写IOPS次数。
    ThruputRead读吞吐字节/秒该文件系统在周期内每秒平均读吞吐字节。
    ThruputWrite写吞吐字节/秒该文件系统在周期内每秒平均写吞吐字节。
    LatencyRead读延迟ms该文件系统在周期内每毫秒平均读延迟。
    LatencyWrite写延迟ms该文件系统在周期内每毫秒平均写延迟。
    QpsMeta元数据QPS次/秒该文件系统在周期内每秒平均请求元数据次数。

接入点策略与系统策略AliyunNASFullAccess、AliyunNASReadOnlyAccess的关系是什么?

策略

说明

接入点策略

接入点策略是阿里云NAS推出的针对接入点客户端的授权策略,可直接授权给不同的RAM用户或RAM角色,无需具备AliyunNASReadOnlyAccessAliyunNASFullAccess系统策略。可以更大程度地满足您的细粒度的要求,从而实现更灵活的权限管理。

接入点客户端支持的访问权限:

  • nas:ClientMount:支持挂载文件系统和读取数据。

  • nas:ClientWrite:支持写数据。不单独使用,需要同时授权ClientMount以支持文件系统挂载和读写。

  • nas:ClientRootAccess:允许使用root账号访问。

    • 如果没有授权该操作,以root用户身份访问时,将映射成nobody用户。

    • 如果接入点绑定了Posix用户,则该Posix用户也受ClientRootAccess影响。例如,绑定了Posix用户为root,但是没有授权ClientRootAccess,通过该接入点挂载后所有IO的Posix用户最终会映射为nobody用户。

    • nobody用户是Linux系统的默认用户,只能访问服务器上的公共内容,具有低权限,高安全性的特点。

AliyunNASReadOnlyAccess

系统策略,NAS文件系统的只读访问权限。

拥有该权限的RAM用户或RAM角色仅支持查看文件系统的信息,无执行权限和接入点客户端的访问权限。

AliyunNASFullAccess

系统策略,NAS文件系统的完全管理权限。该权限风险很高,不推荐使用。

拥有该权限的RAM用户或RAM角色可对NAS文件系统实例资源执行删除、修改、开启回收站等操作。同时,在开启接入点策略后,默认RAM用户或RAM角色有接入点客户端的访问权限。

  • 本页导读 (1)
文档反馈