最小权限原则

当您为用户授予权限时，应当尽可能缩小条件的适用范围，包括但不限于减少被授权人的数量、缩小适用资源的范围、减少授权的操作、增加授权生效的限制条件等。

最小权限原则适用于一切通过BOS进行的授权操作，包括设置Bucket读写权限、设置Object读写权限、设置子用户访问权限、申请临时授权访问等。当您在进行授权操作时，请严格遵守最小权限原则，避免授予过大的权限，造成数据安全风险。

常见问题解答

1、AK/SK的作用是什么？如果泄露了会有什么风险？

AK（Access Key ID）/SK（Secret Access Key）用于对用户的调用行为进行鉴权和认证，相当于百度智能云API专用的用户名及密码。在调用API发送请求时，需要使用AK/SK计算签名并包含在API请求中。AK/SK泄露会导致不具有有效访问权限的未知用户访问BOS，增加数据非法篡改、泄露等风险，请务必妥善保管AK/SK。

2.有哪些场景需要使用临时授权服务STS？

临时授权服务STS是一种区别于原始AK/SK的鉴权方式，可以在不共享AK/SK的情况下为用户提供BOS服务使用权限，具有高访问安全性，推荐您在为第三方用户授权时使用STS方式。通过STS，您可以为第三方用户颁发一个自定义时效和权限的访问凭证，第三方用户可以使用该访问凭证直接调用百度智能云的API访问百度智能云资源，STS更多使用说明详见临时授权访问。

3.如何提升多用户共用Bucket的数据安全性？

可以通过给Bucket划分区域的方式实现多用户隔离，给用户授权时仅开放该Bucket某路径下的权限，例如：自定义bucket权限时，将user1的resource设置为Bucket1/user1_id/*，user2的resource设置为Bucket1/user2_id/*。

4.Bucket粗粒度权限和细粒度权限有什么区别？

在自定义Bucket权限功能中，BOS支持用户进行粗粒度和细粒度权限的组合配置，您可以通过控制台或API完成此操作。粗粒度权限是BOS预置的权限模板，每个粗粒度权限由一组常用操作的打包而成，方便用户快捷配置。细粒度权限精细到各个API操作，为用户提供严格管理授权的能力。为降低权限控制不严格导致的数据安全风险，建议在配置粗粒度权限的基础上，搭配allow/deny进行细粒度权限配置。粗/细粒度权限详见Bucket权限控制。