iOA 零信任安全管理系统存储方案

说明：
存储方案功能灰度中，该功能可能仅对部分用户或特定环境开放。如果您需要测试该功能，请通过 在线支持 确认是否已对您开放。如有任何疑问，请随时联系我们的技术支持团队。
在软件管理模块中，软件仓库与软件管控功能均需配置存储空间，二者的存储空间配置方式完全一致，基于这一共性特征，为提升内容的简洁性与可读性，本文将对该存储空间的配置方式进行统一阐述。
若配置软件仓库存储方案，请登录iOA 零信任管理平台控制台，在左侧导航栏，选择管理中心 > 软件管理 > 软件仓库。
a. 在软件仓库页面，单击设置存储空间。
﻿
b. 单击更改存储方案，配置腾讯云或S3协议存储。
﻿
若配置软件管控存储方案，请登录 iOA 零信任管理平台控制台，在左侧导航栏，选择软件管理 > 软件管控。
a. 在软件管控页面，选择分发管控，单击新建策略。
﻿
b. 示例：新建软件分发策略。
﻿
c. 在新建软件分发策略页面，单击设置存储空间。
﻿
d. 在存储空间页面，单击更改存储方案，根据需求选择腾讯云 或 S3 协议。
﻿
配置腾讯云存储服务
步骤1：新建存储桶
存储桶用于存储 iOA 审计日志中的敏感文件和取证截图。
说明：
如您未开通腾讯云对象存储服务，请前往腾讯云开通 对象存储 COS。
1. 登录 对象存储控制台，在左侧导航栏，选择存储桶列表。
2. 在存储桶列表页面，单击创建存储桶，新建一个存储桶。
﻿
3. 在创建存储桶窗口中，配置基本信息，单击下一步。
﻿
参数名称
说明
所属地域
选择所属地域，存储桶与相同地域的其他腾讯云服务内网互通，地域一旦选择，无法修改，请谨慎选择。
名称
填写存储桶名称，名称一旦创建，无法修改，请谨慎填写。
访问权限
可在私有读写、公有读私有写、公有读写3种访问权限中进行选择。建议配置：私有读写权限。
多 AZ 特性
部分地域支持多 AZ 特性，如不支持的地域，可通过设置存储桶跨区域复制。
多 AZ 特性允许用户将数据存储在同地理区域内的不同物理位置，提供同城容灾功能，推荐开启。
4. 在高级可选配置页签中，根据实际需求选择功能，单击下一步。
﻿
参数名称
说明
版本控制
可选择是否开启版本控制，开启版本控制后可以恢复因覆盖或误删丢失的数据。
极智压缩
极智压缩是在保证画质的前提下，尽可能地减小图片大小的功能。开启后，每次访问桶内的 JPG/PNG/GIF 格式的图片时将会实时压缩。
日志存储
可选择是否开启日志存储，开启后可记录跟存储桶操作相关的各种请求日志。
存储桶标签
支持输入标签键和标签值，可创建50个标签。
服务端加密
可选择不加密，或 SSE-COS 加密。
5. 配置信息确认无误后，单击创建，完成存储桶的创建。
﻿
步骤2：获取 Bucket 和 Endpoint 参数
1. 完成存储桶的创建后，在 存储桶列表页面，单击存储桶名称，进入存储桶详情页面。
﻿
2. 单击概览，查看存储桶的概览页。找到存储桶名称和访问域名，分别作为 Bucket 和 Endpoint 参数。
﻿
步骤3：为存储桶分配最小权限的子账号
1. 完成存储桶创建后，在 存储桶列表页面，单击存储桶名称，进入存储桶详情页面。
﻿
2. 在存储桶详情页面，单击权限管理 > 存储桶访问权限。
3. 在存储桶访问权限页面，单击添加用户。
﻿
4. 添加用户时选择子账号，输入子账号 ID 并选择数据读取、数据写入两个权限，单击确定，即可为此存储桶分配一个具有读写权限（最小权限）的子账号。
﻿
步骤4：获取子账号的 SecretId 和 SecretKey
1. 登录 访问管理控制台，在左侧导航栏，选择用户 > 用户列表。
2. 在用户列表页面，找到刚刚为存储桶分配的子账号，单击用户名称。
﻿
3. 在用户详情页面，单击 API 密钥 > 新建密钥，获取子账号的 SecretId 和 SecretKey。
﻿
注意：
为降低密钥泄露的风险，SecretKey 仅新建时提供，建议您保存好 SecretKey。
﻿
步骤5：回到 iOA 控制台，测试连通性
1. 完成各参数的获取后，返回 iOA 零信任管理平台控制台，在左侧导航栏，选择管理中心 > 软件管理 > 软件仓库或在软件管控页单击分发管控配置存储方案。
2. 存储目标选择腾讯云，依次填写上述获取的 SecretId 和 SecretKey、Endpoint、Bucket。填写完成后，单击测试连通性，若提示测试成功，即配置完成。
﻿
参数名称
说明
目标名称
腾讯云。
SecretId 
﻿步骤4获取的子账号 SecretId。
SecretKey
﻿步骤4获取的子账号 SecretKey。
Endpoint
﻿步骤2获取的存储桶访问域名。
Bucket
﻿步骤2获取的存储桶名称。
3. 配置完成单击确定保存。
配置 S3 协议存储服务
iOA  支持配置 S3协议的存储服务。
说明
请事先分配一个具备当前 Bucket 读写权限的最小权限子账号。
1. 登录 iOA 零信任管理平台控制台，在左侧导航栏，选择管理中心 > 软件管理 ，在软件管理页面，根据需求选择 软件仓库或软件管控，单击更改存储方案。
2. 存储目标选择 S3协议，依次填写 AccessKeyId 和 SecretAccessKey、Endpoint、Bucket，单击测试连通性，若提示测试成功，即配置完成。
﻿
参数名称
说明
目标名称
S3协议。
AccessKeyId 
唯一标识符，用于识别访问云存储服务的用户或应用程序。它通常与 SecretAccessKey 配合使用，以便在对云存储服务进行身份验证时提供安全访问。
SecretAccessKey
与 AccessKeyId 配对的私钥，用于对云存储服务进行身份验证。当创建一个新的 AccessKeyId 时，系统会自动生成一个与之关联的 SecretAccessKey。
Endpoint
云存储服务的 API 访问点。它是一个 URL，用于指向服务的特定区域和访问路径。客户端通过这个 URL与云存储服务进行通信。
Bucket
Bucket 名称。Bucket 是云存储服务中的一个基本容器，用于存储和组织数据。
3. 配置完成单击确定保存。
﻿

参数名称	说明
所属地域	选择所属地域，存储桶与相同地域的其他腾讯云服务内网互通，地域一旦选择，无法修改，请谨慎选择。
名称	填写存储桶名称，名称一旦创建，无法修改，请谨慎填写。
访问权限	可在私有读写、公有读私有写、公有读写3种访问权限中进行选择。建议配置：私有读写权限。
多 AZ 特性	部分地域支持多 AZ 特性，如不支持的地域，可通过设置存储桶跨区域复制。多 AZ 特性允许用户将数据存储在同地理区域内的不同物理位置，提供同城容灾功能，推荐开启。

参数名称	说明
版本控制	可选择是否开启版本控制，开启版本控制后可以恢复因覆盖或误删丢失的数据。
极智压缩	极智压缩是在保证画质的前提下，尽可能地减小图片大小的功能。开启后，每次访问桶内的 JPG/PNG/GIF 格式的图片时将会实时压缩。
日志存储	可选择是否开启日志存储，开启后可记录跟存储桶操作相关的各种请求日志。
存储桶标签	支持输入标签键和标签值，可创建50个标签。
服务端加密	可选择不加密，或 SSE-COS 加密。

参数名称	说明
目标名称	腾讯云。
SecretId	步骤4获取的子账号 SecretId。
SecretKey	步骤4获取的子账号 SecretKey。
Endpoint	步骤2获取的存储桶访问域名。
Bucket	步骤2获取的存储桶名称。

存储方案

本页目录：

配置腾讯云存储服务

步骤1：新建存储桶

步骤2：获取 Bucket 和 Endpoint 参数

步骤3：为存储桶分配最小权限的子账号

步骤4：获取子账号的 SecretId 和 SecretKey

步骤5：回到 iOA 控制台，测试连通性

配置 S3 协议存储服务