简介
当您将文件上传至存储桶后,对象存储(Cloud Object Storage,COS)会自动生成文件链接(文件的 URL),您可以直接通过文件 URL(即 COS 默认域名)访问该文件。若您希望通过 CDN 或自己的域名访问 COS 上的文件,需要将 CDN 域名或自己的域名绑定至文件所在的存储桶。
您可以根据实际需求,使用对应的域名访问文件。例如您想通过 CDN 加速访问文件,则需要访问由 CDN 加速域名生成的文件链接。
设置说明
用户可对以下域名进行管理,实现存储桶中对象的快速下载和分发:
默认域名:即 COS 源站域名,是创建存储桶时,由系统根据存储桶名称和地域自动生成的。
自定义 CDN 加速域名:用户可以为存储桶,绑定已备案的自定义域名至腾讯云国内 CDN 加速平台,通过自定义域名访问存储桶中的对象。(若您之前在老版本 COS 控制台使用过“自定义域名”,则在新版控制台不显示“自定义 CDN 加速域名”,仍显示“自定义域名”)
自定义源站域名:用户可以将已备案的自定义域名,绑定至当前存储桶,通过自定义域名访问桶内对象。
注意
目前 COS 使用自定义 CDN 加速域名必须开启 CDN,请根据您的情况进行判断:
若您的域名接入国内 CDN,需要备案。但不要求必须通过腾讯云备案,保证接入的域名已备案即可。
若您的域名接入海外 CDN,不需要备案。但需要注意,您在腾讯云上存放的数据和操作行为仍需遵守相关国家的法律法规,以及 《腾讯云服务协议》。
在对自定义 CDN 加速域名开启了 CDN 加速的情况下,如果源站为公有读存储桶,那么系统会默认用户可以直接通过自定义 CDN 加速域名访问到源站中的对象。如果源站为私有读存储桶,则建议用户开启 CDN 回源鉴权和 CDN 鉴权配置两个选项。
回源鉴权(开启前提是已添加 CDN 服务授权):当用户请求的数据在边缘节点没有命中缓存时,CDN 需要回源获取数据内容。使用 COS 作为源站并开启回源鉴权后,CDN 边缘节点将使用特殊的服务身份(需要通过 CDN 服务授权得到此身份)访问 COS 源站,以实现获取并缓存私有访问存储桶中的数据。
CDN 鉴权配置:当用户通过访问边缘节点获取缓存数据时,边缘节点会根据鉴权配置规则,校验访问 URL 中的身份验证字段,以此防范非授权的访问,实现防盗链,提高边缘节点缓存数据的安全性和可靠性。
CDN 鉴权配置和 CDN 回源鉴权的使用情况不冲突,但是两者配置的状态不同对数据的保护效果也不同,具体情况如下表:
存储桶访问权限 | 是否开启 CDN 回源鉴权 | 是否开启 CDN 鉴权配置 | 通过 CDN 加速域名是否可访问源站 | 通过 COS 源站域名是否可访问源站 | 适用场景 |
公有读 | 关闭 | 关闭 | 可访问 | 可访问 | 全站公共访问 |
公有读 | 开启 | 关闭 | 可访问 | 可访问 | 不推荐 |
公有读 | 关闭 | 开启 | 需使用 URL 鉴权 | 可访问 | 不推荐 |
公有读 | 开启 | 开启 | 需使用 URL 鉴权 | 可访问 | 不推荐 |
私有读+CDN 服务授权 | 开启 | 开启 | 需使用 URL 鉴权 | 需使用 COS 鉴权 | 全链路保护 |
私有读+CDN 服务授权 | 关闭 | 开启 | 需使用 URL 鉴权 | 需使用 COS 鉴权 | 不推荐 |
私有读+CDN 服务授权 | 开启 | 关闭 | 可访问 | 需使用 COS 鉴权 | 源站保护 |
私有读+CDN 服务授权 | 关闭 | 关闭 | 不可访问 | 需使用 COS 鉴权 | 不推荐 |
私有读 | 关闭 | 开启或关闭 | 不可访问 | 需使用 COS 鉴权 | 无法使用 CDN |
注意
以上述列表第一行为例,当源站存储桶访问权限为公有读时,如果既不开启 CDN 回源鉴权也不开启 CDN 鉴权配置,那么通过 CDN 域名可以直接访问 CDN 边缘节点和源站存储桶,通过 COS 域名可以直接访问源站存储桶。
以上表格中的源站保护场景,若未开启 CDN 鉴权配置,可能导致您缓存在 CDN 边缘节点上的数据被恶意拉取,因此强烈建议同时开启 CDN 鉴权配置以保障数据的安全。
用户为域名启用 CDN 加速之后,任何人都可以通过此域名直接访问源站,所以如果您的数据有一定的私密性,请您务必通过鉴权配置来保护您的源站数据。