问题描述
某客户使用COS存储进行一些文件的存储,近期发现桶中出现了一些不是自己上传的文件、一些文件被删除了、桶的一些配置被篡改,用户反馈没有开放公有写的权限。经排查是由于给子账户开通了完全控制的权限。
该巡检项用于检查 COS 存储桶子账号权限范围,若子账号具有完全控制存储桶的权限,则存储桶可能存在安全风险。
解决方案
建议客户依据最小化权限原则为子账户赋予权限
[ 创建 CAM 子账号 ](https://cloud.tencent.com/document/product/598/13674),
并为存储桶[ 授权子账号访问 COS ](https://cloud.tencent.com/document/product/436/11714),
这样就可以收紧COS读写、基础配置等权限,杜绝了篡改的现象,保证了数据安全与业务合规。
