本文是OSS數據安全，將OSS數據安全的考點和考法做了一個梳理，希望能幫助到各位考生。OSS數據安全的考點和考法具體如下：

章節：OSS數據安全

考點：權限控制與鑒權

考法1：OSS支持的權限控制方式

1.OSS支持的權限控制：【RAM Policy（基于用戶的授權策略）】、【Bucket Policy（基于資源的授權策略）】、【Bucket ACL（Bucket級別的讀寫權限ACL）】、【Object ACL（Object級別的讀寫權限ACL）】。

考法2：ACL權限類型

1.Bucket ACL是Bucket級別的權限訪問控制。目前有三種訪問權限：public-read-write（公共讀寫）、public-read（公共讀、私有寫）和private（私有讀寫）。

考法3：Bucket支持的權限方式

1.可以對Bucket設置的權限：公共讀寫、公共讀和私有

考法4：Object支持的權限方式

1.Object ACL是Object級別的權限訪問控制。目前有四種訪問權限：private（私有讀寫）、public-read-write（公共讀寫）、public-read（公共讀、私有寫）、default（默認權限）即繼承Bucket。

考法5：權限方式的描述

1. 公共讀允許其他用戶訪問就代表允許公共訪問此Bucket。 

考法6：權限判斷

1.Object為【公共讀寫資源】時，所有用戶擁有對該Object的讀寫權限，優先執行。

考法7：OSS與訪問控制RAM配合應用

1.不同的應用訪問不同的Bucket，權限不僅要有“允許”和“拒絕”，也要區分“讀”和“寫”。

考法8：鑒權方式

1.當文件所在的Bucket的讀寫權限是“私有”時，OSS分享鏈接采用的安全機制是【在管理控制臺中獲取文件訪問URL時設置分享鏈接有效的時間，超過設定時間無法下載】。

考法9：鑒權

當用戶訪問OSS出現錯誤時，OSS會返回一個3xx、4xx或者5xx的HTTP狀態碼以及一個application/xml格式的消息體，便于用戶定位問題并解決問題。基于此，您可以通過OSS返回的錯誤信息在本文匹配解決方案。

考點：數據加密

考法1：數據加密方式

1.針對不同的應用場景，OSS有如下兩種服務器端加密方式：1.使用KMS托管密鑰進行加解密（SSE-KMS）；2.使用OSS完全托管加密（SSE-OSS）。

考點：版本控制

考法1：版本控制的特性

1.【版本控制】是針對存儲空間（Bucket）級別的數據保護功能。

2.開啟版本控制后，針對數據的覆蓋和刪除操作會以歷史版本的形式保存下來；如果錯誤覆蓋或刪除文件（Object）后，能夠將Bucket中存儲的Object恢復至任意時刻的歷史版本。

3.同一Bucket中，版本控制與合規保留策略無法同時配置。

考點：合規保留策略

考法1：合規保留策略的設置

1.OSS提供強合規策略，可以針對Bucket設置【基于時間】的合規保留策略。

考點：防盜鏈

考法1：防盜鏈的機制

1.對象存儲OSS的防盜鏈是基于【HTTP或HTTPS header中包含的Referer字段】來實現的。

考法2：防盜鏈的特性

1.在支持通配符中，用星號*代替0個或多個字符；用問號？代替1個字符。

2.白名單為空時，不會檢查Referer字段是否為空；白名單不為空且設置了不允許Referer字段為空的規則時，則只有Referer屬于白名單的請求被允許，其他所有請求都會被拒絕；白名單不為空且設置了允許Referer字段為空的規則，則白名單為空的請求和符合白名單的請求會被允許，其他被拒絕。

考法3：防盜鏈的應用場景

1.OSS Bucket屬性里的防盜鏈功能可以杜絕其他站點的下載。

考法4：防盜鏈的生效前提

1.用戶只有通過URL簽名或者匿名訪問Object時，才會做防盜鏈驗證。請求Header中有Authorization字段時，不會做防盜鏈驗證。