媒體存儲深知數據安全對用戶的重要性。在媒體存儲中，我們致力于為您提供可靠、安全的數據存儲解決方案，并積極推動數據安全的最佳實踐。

我們將通過本文為您介紹媒體存儲數據安全的最佳實踐，幫助您保護和管理存儲在我們平臺上的數據。我們將分享一系列有效的措施，旨在確保數據的機密性、完整性和可用性。

我們將從訪問控制，數據加密，數據備份和災難恢復，數據完整性檢查，安全審計和監控等幾個方面，介紹天翼云媒體存儲的數據安全實踐。

訪問控制

正確使用天翼云媒體存儲為您提供的訪問控制能力，通過細粒度的訪問控制策略，可以有效保護您的數據不被泄露和破壞。

• 建議不同管理員分別使用不同子賬號，通過子賬號來控制不同管理員的資源訪問和管理權限，避免單一賬號訪問權限過高，導致數據泄露和誤操作而產生的風險。

主賬號管理員可以結合自己的業務和實際需求，分別創建不同的子用戶，然后對子用戶授權不同的權限。這樣做可以更好的對不同管理員進行權限隔離和管理。詳情參考：主子賬號。

• 對臨時用戶，建議使用STS發放最小權限的臨時訪問憑證，讓您的資源訪問更加安全。臨時訪問憑證無需透露您的長期密鑰，具有一定的時間有效期限，所以針對某些臨時需要訪問您數據的業務場景或者臨時用戶，推薦您使用STS發放最小權限臨時訪問憑證，降低潛在的攻擊面和數據泄露風險。同時定期審查STS角色的權限設置，確保角色權限與用戶或服務的實際需求保持一致。如果用戶或服務不再需要特定的權限，應立即撤銷相應的角色訪問權限。對于特權角色，進行更頻繁的審查和嚴格的權限管理。詳情參考：STS角色管理。
• 利用好桶的權限配置功能，有效保護您的數據不被異常訪問和操作。天翼云媒體存儲提供了存儲空間訪問策略（Bucket Policy）、存儲空間訪問控制列表（Bucket ACL）和對象訪問控制列表（Object ACL）等方式，通過它，您可以限制其他用戶訪問您數據的操作權限，避免您的數據被破壞和泄露。詳情參考：訪問權限-概述。
• 利用好防盜鏈配置，通過可以設置黑白名單，限制資源的可見性，能有效避免資源被盜用的風險。天翼云媒體存儲提供了防盜鏈機制，可以防止其他網站或未經授權的第三方使用您的存儲資源，防止資源盜鏈和濫用。只有經過授權的來源網站才能訪問和顯示您的資源，提高資源的安全性和保密性。詳情參考：防盜鏈。
• 建議將需要公共讀寫的對象和私有資源對象進行分桶存儲，以便簡化您的訪問控制策略。推薦將公開訪問的對象數據使用公有桶存儲，私有資源對象采用私有桶存儲。同時請切勿將敏感數據放入公共桶存儲，將私有桶錯授權為公共讀寫權限，這樣容易造成數據泄露風險。詳情參考：訪問權限-ACL。
• 數據對象臨時的訪問，建議使用臨時URL訪問數據對象。為了有效避免數據泄露的風險性，針對數據對象的臨時訪問場景，建議您生成一個臨時的URL給訪問者，同時在生成臨時URL的時候，設置URL的有效期，過期自動失效。詳情參考：訪問方式。
• 利用好合規保留功能，可以降低您數據被誤刪和篡改的可能。對于一些私密敏感數據，一經上傳，就需要對其進行鎖定，防止被他人誤刪除或者篡改。天翼云媒體存儲提供了合規保留功能，開啟合規保留后，處于合規保留期的對象均“不可刪除、不可篡改”。詳情參考：合規保留。

數據加密

• 推薦使用HTTPS協議訪問天翼云媒體存儲，可以有效提高數據傳輸過程中的安全性。HTTPS是一種互聯網通訊協議，它可以有效防止潛在攻擊者使用中間人攻擊或類似攻擊來竊聽或操縱網絡流量。我們推薦訪問天翼云媒體存儲的時候，使用HTTPS進行數據傳輸。
• 敏感或者靜態數據，推薦您對數據進行加密存儲，能避免數據泄露風險。天翼云媒體存儲支持服務端加密，當用戶配置服務端加密后，將對收到的文件進行加密，再將加密文件持久化保存。當用戶通過請求下載文件時，天翼云媒體存儲自動將加密文件先解密再返回給用戶。詳情參考：服務端加密。

數據備份和災難恢復

建立完善的數據備份機制和災難恢復計劃，以應對意外事件，確保數據的可用性，完整性和安全性。

• 建議啟用版本控制，可以有效應對對象數據誤刪除，誤覆蓋的場景。版本控制功能是一種在相同的桶中保留對象的多個版本的策略。當發生數據被誤刪除或者被誤覆蓋的時候，可以通過對象多版本，快速恢復誤刪除/誤覆蓋的對象數據。詳情參考：版本控制。
• 使用桶復制實現跨區域拷貝，構建數據異地備份，實現異地數據容災。天翼云媒體存儲提供了桶復制功能，他可以幫助您自動進行異地數據備份，實現異地數據容災的作用。詳情參考：存儲桶復制。

數據完整性檢查

• 采用完整性檢查機制，確保存儲在媒體存儲中的數據在傳輸和存儲過程中沒有被篡改或損壞。天翼云媒體存儲提供了數據一致性校驗功能，可以避免因為網絡劫持、數據緩存等原因導致的數據不一致問題。詳情參考：校驗上傳對象的數據一致性。
• 建立安全審計和監控機制，通過及時檢測和響應潛在的安全威脅來保護數據的安全性。天翼云媒體存儲提供事件通知能力，當對象存儲資源發生變動（如新對象上傳、刪除對象）時，可通過事件通知配置及時收到通知消息。另外，我們還提供用量統計，您可以實時查詢和掌握桶中所產生的存儲空間、流量與請求次數用量信息。詳情參考：事件通知和用量統計。

安全審計和監控

• 建立安全審計和監控機制，通過及時檢測和響應潛在的安全威脅來保護數據的安全性。
• 天翼云媒體存儲提供事件通知能力，當對象存儲資源發生變動（如新對象上傳、刪除對象）時，可通過事件通知配置及時收到通知消息。另外，我們還提供用量統計，您可以實時查詢和掌握桶中所產生的存儲空間、流量與請求次數用量信息。詳情參考：事件通知和用量統計。
• 天翼云媒體存儲還提供了日志存儲和告警管理功能來為您的數據安全性保駕護航。其中日志存儲功能可以幫您把對桶的各類訪問請求記錄日志進行存儲，方便對桶請求的分析和審計。告警管理功能可以對使用過程中產生的響應狀態碼，讀寫請求，流量等進行監控和告警，當這些監控數據達到你自定義的告警閥值，就會發送告警信息。詳情參考：日志存儲和告警管理。