Информация в этом разделе поможет вам защитить объектное хранилище Object Storage Service (OBS).
Существует несколько способов защиты.
Если есть возможность полностью скрыть данные из публичной видимости, рекомендуется организовать подключение исключительно через внутренний Gateway с использованием только частных IP-адресов вида 10.125.X.X. При необходимости используйте сервис VPC Endpoint. Подробнее об организации доступа к бакетам OBS.
Чтобы обеспечить высокую доступность данных, используйте Multi-AZ Storage.
Включите шифрование для наиболее критичных данных или бакетов с помощью сервиса Data Encryption Workshop (DEW). Шифрование потенциально может привести к падению производительности, поэтому для некритичных данных оно опционально.
Во всех приведенных вариантах сетевое подключение организуется к адресу obs.ru-moscow-1.hc.sbercloud.ru, опубликованному через WAF.
Если подключение организуется извне, трафик идет через публичную сеть.
Если подключение идет из облака, например из ECS в VPC тенанта, трафик идет по внутренней сервисной подсети (адреса 10.125.X.X).
Если к объектам OBS нужно организовать доступ по приватным каналам из внешнего ресурса, например из сети On-prem или ЦОДа, можно воспользоваться сервисами VPN, Direct Connect и VPC Endpoint.
Механизмы контроля доступа к OBS и бакету:
IAM Policies/Roles — политики и роли в IAM. Они применяются к группе IAM-пользователей в рамках одного аккаунта (тенанта).
Bucket Policies — политики на уровне бакета OBS. Они могут быть применены для группы IAM-пользователей как в рамках одного аккаунта, так и для других аккаунтов.
Bucket ACL — списки доступа к бакету. Они могут применяться только для аккаунта. Списки доступа дают существенно меньше возможностей конфигурации в сравнении с Bucket Policies и могут быть применены для создания верхнеуровневых списков доступа к объектам. В большинстве случаев рекомендуется использовать Bucket Policies, а не Bucket ACL.