雁栖学堂--湖存储直播第六期原创

各位直播间的小伙伴大家晚上好，欢迎来到云家社区直播间，今天是我们燕溪学堂库存储专题直播第六期，本期我们邀请到的是腾讯云产品经理林老师，嗯，他今天给我们分享的主题是数据加速器库F的数据安全片，然后接下来将会从两个两个维度进行讲解，呃，第一个维度是库s FS range了权限体体系方案，第二个维度是对象存储cos的安全能力介绍，然后在直播开始前呢，我还是依照。惯例跟大家说一下我们直播的抽奖机制，然后在直播报名环节的话，我们是有抽奖激励的，然后这个的话，只要您报名成功就可以抽奖，然后我们奖品设置的大概是20分，直播过程中的话也有，如果就是在直播过程中你有什么问题，可以将您的问题打在讨论区，直播结束的话，我们会随机抽取三个问题做相应解答，如果您的问题有幸被抽中的话，你就有机会获得精美礼品一份。还有就是这一期，从这一期开始的最新福利，因为马上要临近新年了，然后我们在直播过程中还会抽取几位活跃度，活跃度较高的同学去发放那个新年贺卡。

然后接下来呢，我们就把时间交给宁南老师，由他来。带我们进入今天的直播。好的行，呃，那我开始今天的介绍哈，就是今天是给大家介绍这个数据库存储权限，呃，主要分两大块，第一块的话呢，是对象存储的一个权限体系，第二块的话呢，是基于IPA的一个，呃这样一个插件，然后来管理那个故事FS上面的一个啊文件权限，然后先介绍一下对象的一个权限体系啊为什么要介绍这个呢？一个最主要的一个原因哈，是因为说啊，现在咱们那个数据弧这一块，其实它的一个存储底座啊，已经是把对象存储视作一个事实上的一个弧存储底座了，那相应的对象存储上边的一个权限体系啊，也会变得说啊非常重要，它会直接涉及到啊，直接关切到你这一个存储在对象存储上面的。

啊，一个数据的安全好，然后这个是前面的一个背景，然后接下来的话呢，就会给大家介绍一下说啊在整个对象存储的一个权限环节里面，我会给大家分成这三个部分来讲一下啊首先的话呢，是咱们那个对象存储cos的一个权限设计，第二个的话呢，会给大家讲一些具体的案例，然后第三个的话呢，会有一些常见的问题会跟大家分享一下。

嗯，然后先说一下这个权限的设计，其实啊，这个地方的话呢，权限管控的其实是整个啊数据访问链路过程当中的一个非常重要的一个设计啊，它最重要的一个作用就是规定什么人。在什么条件下，可以对什么资源进行什么样的操作，那什么人呢，他其实这个地方说明的规定的就是一个主体，那这个主体可以既可以是子账号，也可以是腾讯云上面的一个协作者，也可以是说另外一个腾讯云的账号，也或者说是另外一个腾讯云的主账号下边的一个子账号，或者说是匿名用户，或者说是啊公有云的某一些服务。那什么条件，它这里其实限定的是啊，我这一个权限生效的一个边界，它可以是时间范围，或者说某一些IP，或者说是某一些B环境，或者说是一些指定的一些资源类型，然后啊，什么资源，它其实就是说啊，存在这个存储上边，它的一个文件的一个范围，比如说你可以指定说啊，我这整个存储桶里边的所有文件都可以访问，那这里的生效范围其实就是整个存储桶，我也可以指定说是某一个目录，或者说是具体的某一个文件，然后最后第三个的话呢，啊，第四个的话呢，就是一个操作，操作这里的话，其实啊就会有一个效力的问题，比如说我是允许他操作还是拒绝他操作，又或者说啊，我一个操作的级别的问题，比如说你是允许哪一些接口，比如说是存储桶配置接口呢，还是说文件配置接口，又或者说是具体到某一些文件的一个读写的接口？

啊，这是整个对象存储的一个权限设计的一个最基础的一个原则，就是规定什么人在什么条件下可以对什么资源进行什么样的一个操作。

然后接下来的话呢，会给大家挨个去介绍一下，我们会先看这个权限设计，它的一个最上游的一个部分，就是说啊用户策略，这里这个用户策略呢，它其实是跟腾讯云的一个访问管理服务密切相关的，我这里截了一个那个腾讯云啊访问管理的一个某一个用户，某一个子用户的一个控制台界面啊，大家可以看到就是这里面的话呢，其实它会明确的规定说啊你这里的一个访问方式，好，这个访问方式到底是只能在控制台访问呢，还是说只能够通过API啊调那个腾讯云的API进行编程访问呢，这是一个访问方式的限制，然后第二个的话呢，大家可以看到哈，这里其实是会有很多的那一些选项卡。它会有权限，会有服务，会有用户组，会有安全相关的一些设置，还有我们的密钥。然后的话呢，权限这里其实最关键，最关键的就是我这一个子用户。

它关联的一个策略内容，那策略这里其实可以有很多种啊，我们的访问管理服务呢，其实是已经有不同的那个预设的策略了，而用户自己的话呢，也可以说自己在啊访问管理控制台上面设定好一些自己预设的一些自定义策略，然后来那个允许某一些用户或者说某一些合法的账号来进行啊访问，然后第三点的话呢，其实这里可以看到哈，就就权限这个选项卡下边有一个权限边界，这一个概念可能大家了解的比较少，我们如果把权限当做啊一个或者一个的一个圈圈的话，就是你把这个圈圈认为是一个生效范围啊，啊权限边界其实就是一个框住你这一个生效范围的一个东西，举个例子，比如说我上面一个权限策略，我是这设置了说啊，你允许访问cos，允许访问CBM，允许访问CDB啊这一些服务。

但是呢，你的权限边界这里呢，又明确的规定了说啊，你这个用户只能够进行cos，那这个时候的话呢，啊，你的整个的策略的一个设计啊，它其实是会受到这个权限边界的一个约束的，也就是说你这一个策略不管你设的在多大，它的一个边界不会超过这一个权限边界里面的一个设置好，然后接下来的话呢，会有用户组，会有安全，会有API密钥这一些啊简单来给大家介绍一下，就是像用户组这一块的话呢，你其实是可以把这个用户关联到某一些用户组里面的，那用户组也会有用户组关联的策略，这里面的一个生效范围，其实啊关系大约就是刚刚刚讲的那一个模式，权限策略跟权限边界大约是一样，待会下边会给大家详细介绍一下，然后API密钥的话呢，其实就是大家啊，日常用的那一些AK这些东西，我在访问一个接口，我来访问这个S服务的时候啊，我里边带的那一个。

还有密钥的信息。好，这个是权限设计，然后刚刚讲的是用户策略啊，因为cos这边的权限其实包括比较多的一个内容，就是用户策略，还有存储的策略，还有存储桶的acel，还有对象acl这么多个东西啊用户啊，存储桶的acel，还有存储桶策略呢，其实是在存储桶层级的一个啊权限的一个管控手段，那这里面的话呢，主要是啊，包括这个啊那个访问策略控制列表，就是acl这个东西，那里面的话呢，大家在我们的cos的控制台上面，其实可以看得到的就是会有那个啊什么私有读写啊，公有读私有写啊，私有公有读写啊这一些东西，然后的话呢，用户可以在啊里边设置好说啊，你是允许哪一些账号，比如说跟账号或者说子账号来进行那个数据的读取或者写入，或者说权限的一个读取或者写入这样的一些操作，然后policy这里的话呢，是一个策略啊，存储统策略的一个权限设置，那这里的话呢。

会更加具体一点，用户可以去啊，指定到说啊，你要允许哪一些资源，或者说允许哪一些接口的一个操作权限，甚至我可以在里边指定好说啊，我是允许哪一个IP的访问，那这个地方的话呢，是我们那个存储统ACO或者存储桶策略的一个表现，然后对象ACO的话呢，它其实是管控我们对象的一个访问权限，这个地方的话呢，有几个选项，最主要的是继承权限，这个地方其实啊绝大部分啊业务，其实目前我们可能就大大家都默认就是用继承权限这一个选项，然后或者用户也可以选择私有读写或者公有读私有写这样。啊，然后这一个是我们权限体系的一个设计当中一个三个比较主要的组成部分，用户策略，还有存储统的，还有对象的一个啊ACO还有策略的限制，然后接下来的话呢，讲权限设计里面他们几个关键的要素，因为前面其实讲了它最基础的一个原则，我们再回顾一下，就是它最基础的一个原则，就是规定什么人在什么啊条件下能够对什么资源进行什么样的一个操作，那相应的在这个权限体系设计的那个要素里面哈，它会有这以下几部分，第一个我们的一个委托人的信息，我这里要明确的表明说啊，我这一个授权的目标是哪一些啊，账号，比如说它既可以是合法的那些看用户，比如说我们的子账号，我们的协作者，或者说公有云服务角色，然后又或者说我们可以指定啊，这一个操作的一个效率，我是明确的显示允许他进行操作，或者说明确的显示的拒绝。

这些操作。这个是不好意思，这个是效率这一层的那。然后的话呢，还会有一个操作这一层面的。

操作这一层面的话呢，就是会明确的去授权啊，我这一个啊策略里面允许或者拒绝的一些操作的范围，我们这里面的话呢，一般是单个API，就单个接口，比如说上传文件，或者说比如说或者说下载文件这样一个接口，或者说我可以授权它多个API操作的一个集合，那这一个是操作这一个地方要覆盖的点。然后呢，还有资源这一块，就是我要授明确的讲明白说我这一条策略到底是要授权到哪一个具体的资源上面，我可以是文件，也可以是目录，或者说整个存储桶，那这一个是按照业务需要来进行授权的，然后在条件这一块的话呢，就是讲明白说我策略的一个约束条件，比如说我需要授权哪一些IP的访问，或者授权哪一个VPC的访问。

右边这里的话呢，是一个具体的例子啊，大家可以看到，就是首先我要允许你哪一些操作，那这里新的话呢，其实就是允许所有的操作，然后我要指定哪一个条件，什么样的效率，什么样的主体，这个anyone其实就是匿名用户的意思，然后我要允许他访问哪一些资源，我可以访问这一个存储桶下边的所有资源，这是一个权限设计它的一个啊几个要素。然后的话呢，再往下的话呢，大家可以看到说啊，给大家介绍一下我们的一个访问策略的一个评估流程。评估流程这里的话呢，是这样，就是我们首先一个请求进来的时候，我们这边会先去看你这个用户的身份啊，用户的身份呢，有很多种啊，前面其实有提到的，他有看的那个子账号，或者说你的协作者或者服务角色，然后呢，也可能是说一些匿名的用户，那这个时候的话呢，我们会先看你这个账号是不是一个匿名用户的请求，那如果是的话，我们会去看你这个账号下面的所有策略里面是否包含了那一个啊拒绝显示拒绝啊所有人的这一个啊访问，那如果是的话呢，我就比如说显示拒绝你那个所有匿名用户的一个访问，那如果是的话，我们就会直接啊进入到一个拒绝访问的一个环节。

而如果说你这个东西没有显示拒绝的话，那这下边的话呢，就会接着往下看一下说啊，你这个地方还有没有一些其他的拒绝条件，如果有的话呢，我还会再进行下一步的评估，那如果没有的话呢，那就允许他访问了，而在那个啊。账号判断，这里如果判断了说啊，你是一个合法的CA用户的话呢，我们接下来看这里吧，就如果你是一个合法的CA的用户的话，比如说你是某一个子账号，那我这边就会评估一下所有的策略里面，看你这个策略里面是否有拒绝该用户的一个显示，拒绝该用户的一些策略设置，比如说我在某一个用户策略层面啊，我这已经设置了，说我要拒绝你这个子账号的访问了，那如果是的话，就拒绝你访问了，那如果你没有的话呢，那我就会看一下，就你是否有显示的允许这一个用户的访问，那如果没有的话，我就会进入到一个允许访问的环节，那假设说这两者都没有，既没有显示拒绝，没有显示允许，那这个时候我还会再去看一下说啊，你有没有显示的允许那些所有人的访问，那这个时候的话呢，当整个访问流程评估完了之后，我们会分别的最终反正要么就是允许，要么他拒绝，这个是整个策略的一个评估流程，下面的话呢，会有一个更加详细的一个呃，流程的一个介绍哈，就是我们这里。

去看用户身份，好啊，看用户身份是什么样的，然后接下来的话呢，我们会看你这个，如果你是一个can的用户的话呢，我们会接下来看你的一个用户组的策略，或者用户策略它的一个表现，判断你的授权情况，看里面有没有显示授权，然后如果没有的话，我会过到这个存储桶的al或者策略这一层，我再来做一次判断，因为前面其实我们提到了你的一个策略的层级，其实有一个用户策略，有一个存储桶策略，还有一个子账号的策略。

那这三个层级的话呢，其实啊，虽然说在访问管理这个服务里面啊，它实际上是综合在一起判断的，但是我们在看这个评估流程的时候，大致可以把它分为啊这样一个三段的一个流程，就是先看用户策略，然后看完了之后，我们会也会再看一下啊存储的acel或者存储策略，看你这个授权情况里面有没有显示拒绝，那如果有我就拒绝访问，如果没有的话呢，我会去匹配一下你的策略，那如果通过的话，都通过的话，最终会进入到一个许可访问的环节，这个时候的话呢，啊，我们这边啊cos这边就会把那个请求转发到更下一层去读写数据好。然后接下来的话呢，会给大家讲的一个概念，就是我们这个临时密钥的概念，那临时密钥这一个东西的话，其实是啊，为了保障每个账号的一个永久密钥的一个安全性，那安全性的话呢，主要是啊体现在哪里呢？因为我们知道哈，那个永久密钥其实是有可能有丢失的那个风险，原因在于说，呃，你比如说我正常一个开发者，我在写那一个GI up的时候啊，我我在写代码的时候，我可能上传到GI，然后完了之后的话呢，一不小心诶把我的密码也给带上去了，诶好巧不巧我也把那个的地址设为公开了，那这个时候你的密钥实际上是有可能被啊其他的那个啊用户或者说其他一些黑产什么的都给窃取了，甚至有可能啊，被人家拿着这个密钥进行一些恶意的攻击，那这个时候永久密钥的话呢，其实是不那么安全的，我们推荐的一种做法呢，是通过临时密钥来进行访问，那这个时候的。

的话呢，因为临时妙它是有一个有效期的，所以的话呢，啊，当临时庙丢失的时候，我们其实不用那么太担心，因为它有效期就那么点，那这个时候啊，我的永久密钥的安全性其实是会更高的，因为它可以托管在服务端，然后息给那个终端啊一个临时庙这样就可以了，整个的流程大约是这样就是。

首先的话呢，我们一个用户他可以先向服务器，就服务端这边去申请一个啊临时密钥，那临时密钥这里服务器这里呢，他会拿着永久密钥哈，去向sts这一个就是其实就是K的那个服务，他会去申请调接口去请求这个临时密钥信息，拿到临时密钥之后的话呢，我们的客户端再用临时密钥计算好签名，然后去上传跟下载，去向cos这边发起上传跟下载的请求，Cos这边的话呢，拿到请求之后，也会去把那个签名解析出来，给到K那边的服务，让他们去判断你这一个请求到底是否有权限啊，这里的话呢，其实是贴了一些啊，我们那个临时密钥的一个啊使用的案例，然后这一张图的话呢，其实就是说我们在使用临时密钥过程当中，可以设置的一些啊条件，比如说我临时密钥息的时候，其实可以设置好时候你这个临时密钥拥有的这个啊操作范围。

回或者说这个临时庙允许操作的一个权限的资源的范围啊，就操作的资源范围，那这个时候其实可以认为说临时庙它所拥有的一个权限，其实是一个永久庙的一个子集。怎么讲呢，就是比如说我拥有密钥哈，我是拥有a bucket下边啊B目录的一个读读权限的，那这个时候的话呢，你下一个临时密钥的时候，我这个临时密钥的权限最大，最大也就是只能操作A这个存储桶下面的一个B目录，当然我可以在申请下临时密钥的时候，我再明确的限制好说你。不能操作B目录的一些，B目录下的一些其他的一些子目录，只能操作C这个子目录，那这个时候临时的权限范围其实是更加紧了一点。

好，这个是临时庙的一个设计，大家可以啊，有兴趣的话可以去详细的体验一下，然后的话呢，啊，接下来是会给大家介绍一下哈，我们这个预签名这个东西，预签名的话呢，其实一般来讲哈，可以啊，跟那个灵时密钥结合着用，结合着用的一个原因是在于说啊，第一个我那个临时密钥放到那个客户端，它多多少少其实是有一个泄露的风险，那一旦泄露的话呢，那你这个临时庙里面剩下的一个范围内的一些文件，也有可能被一些黑产给利用到，那这个时候更安全的一种做法呢，是我用预签名，预签名的话呢，是啊，更严格一点，因为是在服务端这边，我就直接下发好一个签名链接，那你用户。拿到这个预签名链接之后呢，你最多最多只能够通过这个预签名去上传或者下载文件，不能进行别的操作了。

那这个时候的话呢，相应的那个啊，文件的那些安全性啊，就存到这个库存储上面的那些数据安全性它会更高，一签名的一个运作流程是怎么样哈，就是呢，我服务端啊，客户端我可以去请求调域签名的那个接口，我去请求一个预签名链接，而我们在公有云上面，比如说我在一个本地的服务器上，或者公有云的服务器上面，我去。搞一个自己搞一个密钥托管服务，我上边我可以去用一个临时密钥也好，用一个永久密钥也好，当然我们一般推荐用临时临时密钥好，那用临时密钥的话呢，我去啊调那个接口去算好一个预签名。拿到客户端，拿到这个预签名链接之后呢，就用这个预签名链接来进行上传跟下载操作，那这种做法的话呢，我哪怕预签名链接泄露了，我最多最多就是单个文件受损。这里的话呢，有一个预签名授权上传的一个事例，大家也可以啊，有兴趣也可以去了解一下，或者说在cos的那一个文档里面直接搜索那一个预签名，这里面可以看到授授权上传跟授权下载的一个事例，然后接下来的话呢，会有一个实例介绍哈，就是一些给大家讲一下常见的一些健全表现，那这里的话呢，我们就会假设说我这个密钥对应的看用户已经有授权了，并且说你这个签名其实是合法的签名，这个时候我们可以一个一个过一下表现啊，比如说我存储桶呢，是公有读的，那我这个策略，假设我这个存储桶策略里面我没有别的设置，用户策略也没有别的设置，而且我对象SCO，我设置的是继承权限，然后呢，我用户带着签名过来访问的时候。

首先我如果签名是在密钥时间的范围内的，那我肯定是过了，但如果说呢，你这个密钥超时了，那这个时候的话呢，我的健全肯定不通过，我们平常会经常遇到的一些报错，可能说啊，你有request is expre，就是签名过期嘛，你看到那个pire的时候，你就认为说啊，你这个签名很大概率就是过期了，那这个时候的话呢，我们需要考虑的一个啊措施就是去更新这一个签名的一个啊有效期，重新算一个签名，或者说啊，如果你用临时妙的话，那你可能是临时妙过去了，你要重新申请一个临时，然后接着呢，第二种好，我假设说我存储桶里面我加了一条策略，我说是DNA anyone，那你这个时候如果带了签名，好认为你是一个有身份的人，因为你是一个合法的签名，并且你呢是can的用户，我认为你是一个有身份的人，那你这个时候你的健全应该是通过了。

而你如果没有带，那这个时候的话，其实你是一个匿名用户，我的存储统策略里面虽然设啊，虽然我的acl设置的公有度，但是我的策略里面明确的显示的拒绝了说啊匿名用户的访问，那这个时候你一个没有带签名的请求过来，我会直接拒绝掉。而我在那个公有读的，接下来看一个，如果说我的存储统是公有读，但我的对象如果是私有读是怎么搞呢？我的那个签名访问我通过了，因为你是一个合法的K用户，那这个时候我们认为你有身份，其你其实是可以访问这个对象的acol的，但你如果说没有带签名访问的情况下，你是过不了这个权限的，然后用户策略啊，假设这里是授了一指。

啊，然后呢，你这里授权了一个指定的CA用户的时候，我并不是你这个你生生成签名的那个密钥信息，并不是这个指定用户，那这个时候的话呢，啊，假设你是公有读的情况下，你其实可以过，但是你如果说带了啊，没有带签名的情况下，你就过不了，那这是一个授权给一个指定K用户的一个表现。啊，接下来的几个案例的话呢，啊，我建议大家可以去啊，对照着那个前面的那个case，然后啊，就那个访问评估的流程，一个一个过这一个case，然后得出自己的结论哈，这里也不详细的介绍了，因为下面还有不少东西要讲，然后接下来的话呢，会有一个子账号授权的一个啊那个介绍我们这里的话呢，其实上面啊直接贴图了几个我们官网上面的一些介绍，就给大家讲演示一下这里的几个策略，第一个的话呢，是我们这个授权给当前主账号的一个子账号，我如果说我想给你这个子账号一个止写的策略，我要怎么授权啊，我假设说你这个允许你这个子账号可以写任意一个资源，那对应的我的接口，我其实啊接口这一层啊，我就应该包括简单上传要用到的object。

这个接口表单上传post这个接口，然后还有啊分块上传用到的啊，初始化分上传上传分，然后或者说copy类的接口，然后还有那个complete的接口这些，那这一个的话呢，是只写的一个权限，那里面不应该包括一些别的接口，因为我们如果按照最小权限原则的一个要求来的话啊，最小权限原则大家也可以去官网搜一下，里面会有一些详细的一些权限设计的一个规范的要求，大家可以参考一下，然后的话呢，如果按照最小权限的要求来的话，你实际上除了写接口之外，其他接口不允许有。

然后的话呢，限制IP段的访问的话，大家可以看一下，就是我在condition这个字段里面，我只需要加上这个IP equal的那一个啊限制，我把IP列表给填进去那就OK了，这是一个IP段的一个限制，好然后我如果说我需要授权给另外一个主账号的子账号的访问，其实这里面的话呢，就会有一个更加复杂的一个操作，因为首先第一步的话，我要先由我当前这个主账号给你另外一个主账号先授权。然后的话呢，另外一个主账号，我再给你的子账号的授权。这里大家可能就得关注一下，我不是由这个主账号A直接给这个子账号B0授权，不是不是由这个主账号A直接给这个子账号B0授权，而是先授权给另外一个主账号，然后再由另外一个主账号给这个子账号BB0授权，为什么是这个操作流程呢？原因是在于说我们其实如果你把两个主体啊，视为两个不同的啊法人，好，那下边的话呢，我假设就是两个公司的老板，那你这两个公司之间的呢，之间的话呢，会有一些业务往来，那这个时候呢，你下边的一些啊员工，我自己公司下边的一些员工，我其实我是可以任意授权的，对吧，但是呢，我如果说想要授权给另外一个公司的下边的另外一个员工，这个时候的话，直接授。

其实会有风险，因为他的老板并不知道，那这个时候的话呢，正常的一个业务流程最好是先让他的老板知道，然后再让他的老板告诉他下面的员工，这样的话呢，逻辑上会更加顺畅一点，好，这个是授权给另外一个主账号的一个子账号的一个流程，策略上呢，其实跟刚刚前面讲到的一些，呃，委托人那几个要素是一样的，但是流程上会有区别，大家这里可能要注意一下。

一定是先主账号A授权给另外一个主账号B，然后再由这个主账号A授权给一个子账号B，零好，这一点是子账号授权的一个场景，然后第二个的实例的话呢，是要讲这个角色授权，那角色授权的话呢，会相对来讲比较复杂一点，因为啊大家在那个使用公有云服务的时候，其实啊，或多或少都会遇到这一种说角色授权的一个案例，比如说我那个使用CDN服务的时候，我们这里其实是会有一个说授权CDN服务操作对象存储桶里面的哪一些权限呢？这个角色授权的一个流程，其实就是他这个交互啊，其实就是解决刚刚的那刚刚提到的这个服务角色授权的一个啊问题。为什么这么说呢？你看哈，我如果说开CN的时候。那我是通过CDN的域名来下载，那CDN的域名它其实是到CDN的服务的，那你CDN如果上面缓存上面没文件，它是要回到cos用户的cos里面来读写文件的，这个时候他是你CDN的服务本身来访问，那理论上也讲，你作为一个用户，我是需要啊来做这个服务角色授权，代表着说啊，我允许你CDN这个服务来操作我用户的存储桶里面的数据，我是需要走这样一个流程的，好，这个是服务角色授权它的一个基本的一个呃，出发点哈，那整个的流程呢，其实也会比较简单，因为其实这个东西的话，属于一个公有原创标准化的一个流程，它很多，如果说涉及到一些跨服务角色的一些访问啊，很多那个服务其实都已经把它封装好了，只需要在控制台上点点点就可以搞定了，但是有一些场景会比较复杂。

比较复杂的是哪一些呢？就是我如果说是在一些虚机上面啊，可能一些啊，比较典型的大数据的场景啊，它里面比如说CM，那CM这个东西的话呢，你的登录上来的一些用户可能各种各样，因为我一家公司里面，我可能会啊有如果是个人开发者可能还好，但是我如果对于一家公司的话呢，我可能人员的流动性是会比较强的，那这个时候的话呢。

有可能有一些人哈，他啊对吧，你可能在职的时候呢，你记录了，那那对应的话呢，他的一个角色授权的一个流程哈，应该是这样，就是你这个CBM或者说黑石的机器啊，我去绑定一个角色。然后这个时候的话呢，我们这个服务器，你后边每次来访问存储里面的文件的时候，我会调那个新的一个接口，然后的话呢，去跟CA那边交互，拿到这一个临时密，然后的话呢，再通过这个临时妙来上传，这个是角授权的一个环，我们这里是有一些档可以介绍，大家可以看一下，就是我们那个者C。怎么怎么个一个流程，大家可以关注一下，然后接下来的话呢，会有一些常见问题。

常用问题的话呢，这里可能最关注，最关注的应该是看里面的一些限制，因为他在cos的那个弧存储的那个对象存储的一个文档里面，其实并没有明确提及，那这里是访问策略里面的一个限制，比如说一个主账号下面，因为只能够有300个用户组，我一个主账号下面呢，会有1000个子账号，当然这个限制其实对于大部分的个人开发者而言哈，其实是啊，足够满足限制的，而对于一些中小中小型的企业来讲，这个其实基本上也够，那唯一可能会触发这个限制的呢，就或者说唯一需要对个人开发展，就是说需要重点关注的呢，可能是一个主账号下面可以创建的一个自定义的策略数，比如说我那一个呃acl跟那呃存储统acl里面我私有，我默认是那个私有读写了，那我如果切到公有读，或者公有读私有写的时候，你搞一个这样的呢，搞一个这样的一个切换的，它其实就对应着一条自定义策略，然后还有另外一个是我在写策略的时候，我一个策略语法最大的字符数我只能有四个KB。

那这个地方的话呢，也是需要重点注意一下，如果一个策略里边我的啊策略太长的话，其实也会触发这一个限制，好这个是K这边的一个限制，大家要注意，然后另外一个的话呢，我们会有一些接口上面的一些授权的问题，比如说我A接口，我崩了B接口，那么除了授权A接口之外，我是否需要授权B接口，这里有一些例子啊，大家可以看一下，比如说我们对象存储上面是有那个批量删除的一个接口呢，那我是否会依赖这个单删接口。那这个是答案是肯定的，就是我必须有单删接口的权限，不然的话你光有P3没有用，那copy接口呢，我是需要依赖get跟put接口的授权的，而对于一些任务类的操作，像best能力啊，我可以去进行那个批量复制对象，或者说批量的修改al这些我们也是需要啊授权对应的接口才能够说啊进行使用。

然后检索的话呢，会依赖这个接口。好，然后这是一个需要注意的事项。然后接下来的话呢，就是啊另外一个可能就是一些啊细微的些，细索的一些啊点可能也要需要注意一下，比如说list object跟还有list的操作，那这个地方的话呢，我们就会涉及到那一个对应的那个接口的授权，它其实是啊两个接口哈，会稍微有一些特殊，那特殊点的话呢，就在于是说它里边调的其实是啊，实际调的呢，是那个get的权限，这个啊就先不展开讲，然后第三点的话呢，是那个继承权限，还有一个缺省值，那我们啊前面其实有看到是我们对象acel里面是有一个继承权限的一个设置，而实际的表现呢，它实际上就是一个默认缺省的一个意思，缺省就是说我这一轮判断，我不去判断它，我就放着它过，我前面既然已经通过了这一轮，我就直接判断，不不做任何判断，我就放它过，大概是这个意思，然后的话呢，这一些小点的话，其实会在具体的权限表现当中会导致一些细微的差异啊，但是啊，在一些。

在中常委的，就或者说在一些啊个人开发的一个场景里面啊，比较少会触发这一些问题，那这里也先暂时先不展开讲，我们后面的话呢，如果有兴趣的话，我们可以在那个服务群里大家互相交流。然后啊，接下来的话呢，会给大家讲一下这个的一个权限体系，为什么要重点讲这个的原因是在于说在一些大数据的场景下。或者说我们数据哈，数据里面其实更多更多的比较多的除了AI类的场景，我们range这个场啊，大数据的那些分析场景，它会有那个hdms range的插件，而这一个地方的话呢啊，因为HDMS的那套系统，它会依赖这一个权限插件。所以的话呢，当用户如果把你们的把把他的那个啊存储业务帮搬到那个公有云存储上面来的时候，也会遇到相同的问题，那这个时候的话呢，就需要引入链的这一套插件来管控整个公有云弧存储上面的一个权限了，就等于是说在那个K上面的基础上，我们可能还得再多加这一层东西，然后互相补充啊接下来的话呢，会先给大家展开介绍一下这一个啊range者权限体系，然后接下来的话呢，在介绍一下那个基于range去控制S的一个访问权限，那S的话呢，前面几期其实也有给大家介绍，是一个啊数据的一个统一的入口，就是一个那个大数据的一个插件，然后第三个的话呢，是一个常见问题的一个介绍啊，我们先说那一个。

先说那个range权限体系哈，这个图的话呢，其实会相对比较复杂一点，大家啊，如果有兴趣的话呢，也可以去啊一些公开的一些博客，或者说range他自己本身有一个vckki，也可以去了解一下啊这一套架构，但简单来讲的话呢，它的一个逻辑是这样，就是说你认的这一套东西本身哈，它其实是提供了一个跟HDS权限本身啊，原生的一些权限相匹配的一个授权模型。

然后的话呢，呃，整个的ranger服务的话呢，里面它其实包括了不少那个啊那个模块，比如说你的web UI，你的那个range的那个的那个模块，然后你还可能会涉及到跟那个HDS的一些或者卡卡的一些关联的一些插件做一些交互，或者说你可能会跟一些MS服务做交互，然后的话呢，最主要最主要的它会跟上层的那些认证服务做一些交互，那这个地方的话呢，当一个请求过来的时候，我们这个render插件，其实最主要最主要的我会先检测检查说你这一个授权策略是否啊存在，其实它的一个授权策略的一个检查，其实跟前面的那一个啊，前面提到的那一个，我们的那一个对象存储它的一个权限的一个检查流程，基本上是大差不差的，待会也会详细展开给大家介绍一下，然后的话呢，啊，第二个的第三个的话呢，就是说我们这里会做这个权限。

策的检查完了之后，有一个特殊的场景，就是说上都没有，那么对于HS些原那些统来讲，他还会去进行那一个检查，那个HTS本身的一个啊，Process s，那这个的话呢，待会也会在下边的章节会展开讲一下，然后这种模型的话呢，啊，Range这一种服务啊，它其实适用于HDS，也适用于样服务，然后的话呢。啊，在目前啊，整个大数据的权限生态里，其实是一个非常广泛使用的一个组件，然后接下来的话呢，就是讲前面提到的那个权限评估的流程，我们其实啊，在介绍一个权限的时候，其实一般会重点去关注的就是这个权限评估流程，因为会直接涉及到说啊我哪一些请求能过，哪一些请求不能过，所以的话呢，在介绍re的时候，这个地方也会展开讲一下，其实可以看得到哈，它的一个流程基本上跟前面提到的那一个对象存储的访问评估流程也是大差不差，但是大家其实啊需要注意的一点就是我们对象存储如果最后进入到了绝这个环节，他就是真的拒绝，但是对于的话呢，如果说你到了最后啊都拒绝了的时候，那。

我们大部分的组件其实是会拒绝访问的，但是对于HS或者些件的话，有可能会那一些确定权限。那这一个的话呢，是属于一个啊一个特殊的场景，那我们先假设说你这些权限都进入到了前面这两条流程，我们先看一下啊，你这个拒绝的这一条流程是怎么样的，我们会先看你这个请求跟策略中他们的一个拒绝条件是否匹配，比如说有没有明确的拒绝你那如果说你没有明确拒绝的话，那我就跳过了，那你如果说请求跟你这个策略中的那些拒绝排除这一些条件设置没也不匹配的话。

啊，那我也是跳过，但是你如果说都过了的话啊，我会直接命中到那一些拒绝的那个啊那个环节，比如说我这里。没有命中到那个拒绝排除不匹配这一个东西的话，那我最终最终就是到了这个拒绝这个环节了，这个是拒绝这条链，我会先看你这个拒绝条件有没有拒绝策略，好，那这个时候的话呢，是否有命中一个拒绝条件，接着的话呢，它还有一个deny的东西，这个东西其实就是一个拒绝排除不匹配嘛，然后啊，如果说没有命中的话，我这里就会直接拒绝掉。

然后第二条的话呢，我先就前面这里哈，如果说没有拒绝策略，或者说没有命中拒绝策略的话，那其实是会看你这个允许策略这一个东西，允许策略其实也是对等的，它会有一条允许策略显示的允许策略，或者说啊，我会有那一个例外的那一些策略。那这个地方其实评估流程也是大差不差，如果你有显示允许，显示的允许，并且没有这个排除的条件排除的情况的话，那我最终就会命用到一个允许的一个链路上啊，这个是一个权限的一个评估流程，那其实对比下来的话呢，前面也提到了，说我们最大的一个差异哈，可能就是说会有这一个东西，就是我拒绝的时候，最终落入到一个拒绝的环节的时候，它其实还是会有一条旁出来的，就是对于一些H或者组件这个东西啊，它会回到的A，然后的话呢，接下来的话呢，我们会展开讲一下，你这个基于它对那个cos访问权限的一个啊，基于管控cos访问权限的一个列，首先的话呢啊，我们这一套流程里边会涉及到比较多的插件。

啊，不确定说那个大家之前对大数据组件这一块有没有一个了解，首先这里会挨个介绍一下，我们先讲这个插件。那cosn插件的话呢，它其实是一个大家可以认为说是一个大数据的一个啊协议转换的组件，我们正常在HDMS，或者说一个啊分布式的那个HHDMS系统里面去访问那个cos的时候，我们是要么呢，你除非能够直接发起S3的访，S3协议的访问，要么的话呢，你就只能通过这个cosn，那当然大部分情况下的话呢，就是通过这个cosn，那cosn的个协议的一个访问的能力，然后的话呢，他收到这一个请求的时候，他会把这一部分啊，文件系统的一个语义的访问啊，他把它转成一个S3协议的一个访问，发到那个cos这一端来。

然后这个是cost n的一个作用哈，然后啊，我们第二个组件，关键组件呢，是这个ranger client，那cost ranger client跟cost ranger service这两个东西其实共同组建了，组成了这一个ranger的，呃，那个ranger服务的一个Co ranger服务的一个核心哈，就是它一个是啊客户端他要把它动态的加载那一个呃权限的一个形态啊动态动要动态加载这个权限的一个呃信息，然后把这个权限校验的请求转发给这个cost range service这一个service。然后的话呢，啊，还会有这个range的一个插件，那这个插件的一个东西的话呢，它主要是提供一个range服务端的一个定义插件，它会啊提供那个cos服务的一个描述，比如说我们一些啊必要的参数，比如说存储统的一些参数，或者说地域的参数，那这个时候的话呢，我们把这个插件部署好之后，我们可以在range的一些控制界面上填写对应的策略，那这个地方其实更多的是会跟那个range命这一个呃组件进行一个交互。

好，这个是整个啊流程里面涉及的几个组件哈，然后我们详细过一下流程，就是你正常一个用户来访问的时候呢，我们会去认证，或者说去获取这一个range的那一个凭据，然后第二个的话呢，们会根据这个cos的凭据去认证，去client这个系统里面去认证，认证完了之后的话呢，我们这个地方会进行一步权限校验的一个流程，我会去判断你这个用户到底有没有这一个权限的一个啊访问啊能力，那如果有了的话呢，我才会去根据给你一个临时，然后你才会去根据这个临时来访问这个cos存储，所以的话呢，大家可以看到说我在整个range的一个访问过程当中啊，我其实起到了一个，等于是说起到了一个啊，更细力度的一个管控，原因在于什么呢？原因在于说啊，我们cos这边啊的一个访问，对。

项存储本身的一个访问，要么要求前面其实提到了，要么你要求必须是一个合法的K用户，要么的话呢，你是一个匿名用户的一个身份，但是在大数据场景下，其实情会更加。你不可能所有的一个公司里面的一个大数据团队，不可能所有的开发者呢，都是这一个上面的用户，那他有可能只是你这一台机器上的某一个啊使用方而已，那这个使用方也需要对这一个使用方的一个权限进行管控，那这个时候的话呢，Range它所起的作用其实就是在这一个环节进行一个初步的一个啊权限的筛选。

所以的话呢，大家可以啊，比较简单粗暴的认为说，我们这个ranger的权限管控体系啊，它是其实是受限，一方面的话呢，它是补充了那一个，呃，现有的公有云上边的一个权限体系，在大数据权限体系下，它的一些啊不足的地方，然后另外一方面呢，也可以认为说你这一套权限体系，它其实是呃继承，在继承了那一个公有云上面的一个，或者说应该是受限于被被那个公有云上面的那一套权限体系约束，比如说。我假设哈，我假设你这个账号，我们这家账号，这个账号下边它只能拥有a bucket的一个操作权限，读写的权限，那这个时候啊，你只有文件的读写权限的时候，你哪怕你这个啊账号它通过那个range服务去拉到了一个。

啊的是不可能通过这个去到一个一个访权限，所以的话呢，可以认为说你这个权肯定是会受限于这一个啊，公有云上面的一个访问权限的一个限制啊，这个是啊，刚刚讲的一个是访问流程，以及另外一个是它的一个权限表现啊，然后第四。这个这一页的话呢，会给大家讲他们的一个事例，就是说你的那个基于range来控制cos的访问权限，它的一个配置的一个流程，首先的话呢。一些环境的一个配置，这个是必须的，就是啊，我们要部署这个环境，就keep的环境，Range covers这些，那如果说环境没有的话，那其实后边的那几步都很难走得通，然后第二步这里的话呢，我们会有一个组件这一块。组件这一块的话呢，我们前面提到的那几个range相关的插件啊，或者说service端或者客户端这一些都需要在上面部署，部署完了之后的话呢，我们可以在这个range的那个客户端上面，Web u上面添加对应的策略，然后最后在证这个环节，我们可以通过的命令行或者说啊的一些任务来进行一个验证。

啊，这个是前面讲的那个啊，用控制cos的一个访问权限的一个流程，然后第二个的话呢。我们再来讲一讲，说用range来控制故事FS的一个访问权限，呃，故事FS的话呢，其实前面有给大家讲过哈，就是我们故事FS这一个东西的话呢，它其实是对外提供了一个统一的一个呃数据平面，数据的一个管控平面，你可以通过那个大数据的一个语义，就HDMS的一个语义，然后来啊，通过故事MS对接不同的那一个存储系统，比如说你可以拿它来对接公有云的HDMS，也可以拿它来对接公有云的对象存储，那这个时候的话呢，它有一个好处，就是对于用户来讲，你屏蔽了下边的那一个远端存储的一个啊公有云存储的一个细节，那你只需要在啊一个客户端上面进行访问就可以了，然后的话呢，呃，它这一个故事S这个插件其实也是兼容我们这个大数据的一个生态的，所以的话呢，对于range来讲啊，它也是全兼容HD Ms range的一个啊那个权限。

条线的那对应的话呢，其实啊，刚刚的那对应的话呢，也是需要跟刚刚cos提到的那个cos的那个啊插件一样，也是需要客户端服务端，然后完了之后呢，啊也是需要说。在节点上面部署啊，我们那个呃，那个range的服务，这个时候的话呢，呃，它的部署啊，会有点稍微有一点不太一样，因为故在master这里是会有一个master叫work的那个，呃呃那个表那个架构的，所以的话呢，在部署这个range服务的时候，它是需要分别在master节点还有那个啊worker节点，呃，像或者说master节点跟那个admin节点进行那一个部署，所以的话。

呃，我在这这里跟他讲一下吧，就是说两个节点上面它上面啊的一个表现，首先master节点的话呢，我们这边会提供一个健全的一个接口，为这一个故事S上面master的每一次数据的一个请求提供一个健全的一个啊能力，然后的话呢，这一个故事S的一个master节点这一边的一个range服务的话呢，我们会连接那个admin这一个节点上面获取用户配置的一个呃，那个健全策略，所以的话呢，这个S的这个master节点其实可以认为说是一个中转的一个呃中枢吧，然后这一侧的话呢，他要去提供那个MS的一个resource的一个能力。

对，这个地方的话呢，其实啊，更多的话呢，还还要提补充那个配置校验的一个能力，就是我要去检查哪一些配置是属于你这个用户，呃，属于这个用户的一个权限策略啊，这个是的命这一侧需要做的一个东西，然后呃，我们再往下的话呢，是讲那个基于range来控制S的一个访问权限的一个流程，整个的流程其实跟刚刚的那个控基range控制cos的一个访问权限流程其实是大差不差的，然后的话呢，啊，大家可以看到啊，就是我们环境这一块首先也是得有，然后组建这一块呢，也是得有，然后这里边唯一的一个区别点在于说啊用户这里哈，它是不是通过cosn了，不，它是需要通过那个SS部署SSS这个组件来访问，然后部署完了之后的话呢，我们可以通过测在那个range的we u。

来添加策略，然后最后通过故事MS的命令行再来访问那个对象存储里边的一个啊那个数据，这个是基于range来控制那个故事MS的一个访问权限，那这个时候的话呢，其实很多啊，用户会比较关注的信息都有哪一些呢？比如说啊，我们range这个服务啊。比如说我们这一个服务啊，我上面可以访问多少的那个可以访问多少的一个策略。啊，目前的话呢，我们这边是内部有压过一版，就是像的服务上面的话呢，它是可以呃包含了1万条策略，这个其实是一是可以压到这个层层级的，所以的话呢，啊，在整个策略的一个天管管控上面啊，其实是呃比较呃稳妥的，就是对于一些大绝大部分大数据业务来讲，这个是没有问题的，然后第二个的话呢，就是说我们这个的这一个服务里面，它是否跟HDFS的一个range能不能兼容。

其实S因为话HS稍是HS range兼容。第三个可能会比较关注的点，就是说像我们那个啊，Range这里是否能不够说支持range这里能不能支持那个海的一个虚拟用户，这种的话呢，一般也是支持的，然后的话呢，我们可以把那些虚拟用户的身份信息到底的那个远端储上面去啊做全这个的话呢，目目前暂时不支持啊，但是后边也是会有计划，然后。呃，后面的话呢，就是呃，可能还有一些用户会有一些别的关注点啊，比如说我们range的一些设置啊，跟那个cos的一个啊权限设置，如果冲突的情况下啊，会有什么样的一个表现，比如说啊，我那个cos里面哈，我不是支持那个匿名用户的访问嘛，我们公有云上面的对象存储是支持匿名用户的访问的，但是呢，Ranger呢，Ranger上面呢，确实不允许某一个子用户来访问，那这个时候以哪一个为准，这个时候的话呢，我们是这样，就是在有冲突的情况下，权限冲突的情况下，首先是先以故事MS这边的一个表现为准，从上到下。

就是啊，我会先做故事FS这一层的一套权限的判断，然后过完了再去底层的cos那边去判断，那么对应的会有一个情况，就是我故事这边通过了，但是我底层cos，就底层的那个cos上面有云存储，就拒绝了，那这个时候的话呢，就是以cos这边的为准了。

其实这里的一个整个的表现很像前面讲的一个权限的一个评估流程，但不完全一样，但是只是说做一个类比，就是它其实是一个从上到下的一个权限评估过程，就是我会先看最上游的一个权限的表现，然后完了上游我才会去过下游，然后当权限有冲突的时候，其实最开始给大家讲用户策略的时候，如果回顾一下，我们可以发现说它其实是有一个权限边界的能力嘛，那我们在这里看这个权限两边的权限表现的时候啊，上边跟下边，就上游跟下游两套权限一旦冲突了，或者说有一些包含的关系的时候，我们是以最严格的那一个权限表现为准的，比如说某个允许。或者说某一个部分允许，那这个时候的话呢，肯定是以部分允许这一个权限为准，好这一个是啊，再用range来管控啊对象存储或者说管控故S这一个插件的过程当中啊，会可能会遇到的一些问题啊，然后接下来的话呢，会给大家讲一些啊有关权限的一些其他的东西吧，因为其实前面其实啊大家都能够了解到了，我们一个是权限的一一个呃，一些要素或者说一些啊评估流程，那这里的话呢，其实啊在设计权限的时候会有一个啊RBAC的一个模型，大家可以有兴趣可以上网去了解一下，那这一些RBAC的模型里面，它其实是会分很多种，首先第一种呢是RBAC0，那这个地方的话呢，它里面会把那个用户的份分成若干个，就是什么用的，或者说角或说权限三东。

那中间三大块的东西里面，它其实是一个多对多的关系啊，那用户其实就是刚刚前面讲到的一个主体。我们这里的话呢，主体这里的话呢，既可以是To B的用户，也可以TOC的用户，也可以是后台管理人员，也可以是系统的一个内部员工，然后的话呢，角色其实是中间的一道桥梁，那桥梁这里的话呢，是啊，连接用户跟权限。

我每个角色我可以关联多个权限，然后一个用户也可以关联多个角色，那这个时候我这个用户可以有多个角色，不同的角色的一个多个权限，那权限的话，其实就是面给大家讲到的，我每一个呃权限其实是会可以可以表现为一个具体的一个policy，或者说一个具体的策略的，那这个时候的话呢，这个权限就会指定好这个用户可以访问的资源，比如说我可能是某一些操作的权限，某一些数据的。那个访问权限好，这个是最基础的一个权限模型，然后在一些复杂的一些业务架构里面，它可能会有多个不同的角色，或者说多个层级的角色，比如说啊，最上层的那一些，比如说一个财务部门，最上面的一个CFO，中间会有负责出纳的，负责啊会计的啊，那这里面其实就会引入一个角色继承的问题，就是角色中间其实是会有上下级的关系的。

那一般继承关系的话呢，就是说角色之间我是可以去做继承的，然后一些受限继承的话呢，就是说我角色之间其实是一个继承的关系。那这种单继承的关系的话，其实啊，相对来讲会比较简单一点，就是我只能单项的去继承，那一定程度上它会简化这一个权限管理的一个工作，然后的话呢，啊，更复杂的一个模型里面，它会有一个责任分离的一个啊设计就是说啊，我一个用户的话呢，我可能既可以分配到一个角色。也也可以分配到另外一个组里面的一个角色，举个例子，可能这这种情况的话呢，可能在在一些啊，以项目为主的一些公司里面会比较常见，就是项目经理或者说研发人员，他可以同时属于两个不同的啊项目里面，那同时就会拥有两个不同的项目的一个操作权限。

这个的话呢，是属于一个责任分离的一个，引入了这个责任分离的一个关系，它能够说啊方便的去变更你这一个啊，用户他可操作的一个权限的一个范围，而在一些更复杂的关系里面啊，他其实组织跟角色之间啊，它其实会存在不同的多对多的关系，或者说一对一的关系，那这一个啊，相相应的会更加复杂一些，对这个地方就大家如果有兴趣的话，可以进一步的去网上搜对应的那个权限模型，去进更深入更深入的了解，好然后啊，最后的话呢，我们再来回顾说前边的那个权限的一套表现啊，或者说整个权限设计的一个基准。这个东西啊，其实这一句这一条原则，其实回到我们这一条原则上面，大家可以看到说它不仅是那个呃公有云的那一个权限，也可以说是呃大数据的那一套权限里面，它会用到的一个里面就是规定什么人在，什么条件在，可以对什么资源做什么样的操作好，然后呃，我今天的分享就差不多到此结束，然后大家可以先看一下什么问题。

好的，非常感谢李楠老师的分享，讲了一个讲了将近一个小时，辛苦了，然后这边的话就是我整理了一下我们目前的就是在直播间的一些问题，然后你可以选择三个做相应解答。然后我看到我们评论区也很热闹，有人说是呃，听不懂，但是也有人说我们的主播讲的比较好，然后对项目比较熟悉，有干货这样。

哦，不好意思哦。啊，你。嗯，你好，这边这边是怎么了。啊喂，不好意思，就是我看一下现在的问题哈，跟cos之间的关系是吧。呃，我看了一下好些个问题，我先一个一个回答吧，就是range跟cos的关系，首先range的话，其是大数据体系下的一个呃权限件，那cos这边的话呢，其实是对，那对存的话呢，我这里先简单的认为就是权限吧，就是因为对更更大的范围，那对存储的权限，其实是依赖于说整个公有云的那一个访问管理体系的啊，它的一个权限的话呢，其实是跟本身是分开的，前面也提到了，就是cos这里的权限，它更多的会针对于合法的CA用户，就是在公有云平台上注册过的用户，还有一些匿名用户，而对于range来讲，它需要管控你比如说某一些啊虚机上面，我比如说里面我可能会设置好不同的那个子用户，那这个这些子用户的话，其实是在公有云上面没有注册过的，但是呢啊，他又希望说能够说跟复用他在公有云上面这些子账号的一些权限。

这个时候的话呢，我range其实是可以补充啊，Cos权限体系这一块一些没有办法覆盖到的一些点，因为呃，你可以认为说是这样，就是比如说我cos有一个子账号一，好，这个子账号一呢，我搞了一个的系统，那我这个系统上面呢，我可能会有多个不同的业务方在用，那这个时候的话呢，这多个业务方他不可能一个一个都去注册啊公有云账号，所以的话呢，他可以通过range这一套权限系统来管控这些子账号的访问，这个是range跟cos之间的啊关系。

然后第二个问题，Cos可以可不可以挂载到容器实例上面操作啊，结论是可以的，这个问题的话呢，其实啊比较常见啊，因为很多A般都是容，那大家可以在容器容器里起一个pod的时候，可以直接啊用我们的那个CSIC的A啊个组件服务那里去使用事S，就啊直接在那个应用应用市场那里搜一下事S就可以看到了，然后把事S装到集群里面，这样能够提升性能，然后减少这一个业务的访问。

然后第三个问题是cos可以实时存储哪一些数据啊，这个就多了，结构化的非结构化的都可以，或者构化的也行，那常见的化数C化数据可以啊，有一些业务的话呢，可能也可以用直接写数据到上，这个的话呢，是属于说Co可以做到的一些结构化数据的一个储范围，然后非结构化的数据呢，图片视还有那一些。啊，各种各样的啊，媒体文件都可以存到cos上面，然后进一步的用那个数据万象服务去进行处理，对啊这三个问题。好的，那非常感谢林楠老师，然后这边的话，刚刚抽中问题的同学，您可以凭借您的问题截图在我们公众腾讯云存储公众号回复您的收货地址和问题截图，我们将会在一周之内将礼品送到您的手中，然后刚开始的时候呢，我也说过，我们本期的话会选一些活跃观众，然后最最终经过我们后台评估的话，是有就是呃，用户5785637，然后用户8003090，以及hello，第这三个为本期的活跃观众，然后待会儿的话，你们可以凭这个，凭借这个评论截图在我们腾讯云存储公众号回复收货收货地址和评论截图，我们也会将那个对应的新营贺卡送到您的手中。

然后我看评论区还有一些人说今天老师讲的很好，那告诉你们一个好消息，下一期的直播的话，还是由我们这边老师来给大家讲，然后下一期的话，我们讲的内容是呃，酷FS的成本，然后欢迎大家到时候如期观看，然后时间的话是20，本月的25号，也是周四这样子。

好的，那今天的直播我们就到此结束了，谢谢大家。好，谢谢大家，再见，嗯嗯。对。