为了使众多基于 AWS S3 开发的应用程序、开发工具及第三方服务，在不修改代码的前提下，更容易的接入到 QingStor，QingStor 现已提供兼容 AWS S3 的接口。

如果用户的后台系统正在使用 AWS S3 存储数据，现在不需要修改任何程序代码，直接接入到 QingStor。并且 AWS S3 生态中提供的各类客户端工具 (如 AWS SDK, CLI)，现在也可以无缝接入到 QingStor 中继续使用。

目前 QingStor 已经兼容AWS S3 所有主要功能的接口 ，后续随着 QingStor 功能的不断丰富，还会进一步提高兼容程度。更多兼容相关的内容，可查阅 官方文档。

访问方式

和 QingStor 原生接口一样，AWS S3 兼容接口也支持两种形式的访问地址。

这里的“访问地址“在 AWS S3 语境里被称为 Endpoint

当用户使用以上任何一种风格 URL 发起请求时，将开始以 AWS S3 接口访问 QingStor。除了请求 Host 不同，所有请求头、请求正文、签名方式都应该符合 AWS S3 的规范。也就是说，从应用的视角看到的仿佛是 AWS S3 服务，但实际上操作的是 QingStor

签名验证

QingStor 兼容接口同时支持签名方法 AWS Signature Version 2 和 AWS Signature Version 4

在签名过程中，用户需要使用 QingCloud 密钥对 (QingCloud Access Key) 替换 AWS 密钥对 (AWS Access Key)。Signature V4 版本中，使用 QingCloud Zone 替换 AWS Region

使用示例

大多数基于 AWS S3 开发的工具都有自定义访问地址的方法，下面以一些常用工具为例，说明如何接入 QingStor

 AWS SDK for Python

1. 安装 Boto 类库:

$ pip install boto

2. 编写程序:

$ cat boto-to-qingstor.py
import boto
conn = boto.connect_s3(
aws_access_key_id='PLLZOBTTZXGBNOWUFHZZ',
aws_secret_access_key='MnIjI58zC8AX07xotHXcm6grwFgOXhaJQHkTCX2X',
host='s3.pek3a.qingstor.com'
)
bucket = conn.get_bucket('mybucket')
key = bucket.get_key("mykey")

AWS CLI

1. 安装 AWS CLI 工具:

pip install awscli

2. 编辑配置文件:

$ cat ~/.aws/config
[profile qingstor]
region = pek3a
output = json
s3 =
signature_version = s3v4

3. 设置访问密钥:

$ cat ~/.aws/credentials
[qingstor]
aws_access_key_id = PLLZOBTTZXGBNOWUFHZZ
aws_secret_access_key = MnIjI58zC8AX07xotHXcm6grwFgOXhaJQHkTCX2X

4. 命令行执行:

$ aws s3api put-object --bucket mybucket --key puppy.jpg --body ~/Pictures/puppy.jpg --endpoint-url 'https://s3.pek3a.qingstor.com' --profile qingstor
{
"ETag": "\"c3872b49cb244269aad8cd4275a41c4a\""
}

s3fs

1. 安装 s3fs 工具 (以 Ubuntu 为例):

apt-get install s3fs

2. 设置访问密钥:

# cat /root/.s3fs/credentials
PLLZOBTTZXGBNOWUFHZZ:MnIjI58zC8AX07xotHXcm6grwFgOXhaJQHkTCX2X

3. 挂载 bucket 到本地目录:

# mkdir -p /mnt/mybucket
# s3fs mybucket /mnt/mybucket -o passwd_file=/root/.s3fs/credentials -o url=http://s3.pek3a.qingstor.com
# df -T | grep s3fs
s3fs fuse.s3fs 274877906944 0 274877906944 0% /mnt/mybucket

4. 测试文件系统操作:

# echo 'hello world' > /tmp/hello.txt
# cp -v /tmp/hello.txt /mnt/mybucket/
‘/tmp/hello.txt’ -> ‘/mnt/mybucket/hello.txt’
# ls -l /mnt/mybucket/hello.txt
---------- 1 root root 4635 Aug 11 23:26 /mnt/mybucket/hello.txt
# cat /mnt/mybucket/hello.txt
hello world

Transmit for iOS

1. 首先在AppStore 下载应用 Transmit

2. 打开应用添加新的 Server，选择 Amazon S3 并在 Address 处填写 s3.qingstor.com (注意这里与上文提到的访问地址有所不同，因为 Transmit 首屏需要获取所有的 bucket 列表，所以需要填写 QingStor global 的地址)

3. 填入在 QingCloud 控制台申请的密钥对，点击保存

4. 设置完成，点击文件夹进入查看文件列表

兼容工具

理论上所有基于 AWS S3 接口开发的客户端，只要涉及的接口实现了兼容，都可以直接对接 QingStor。

实际测试中，我们已经证实可以兼容的工具包括:

• AWS SDK for Python / PHP / Java / Ruby
• AWS Command Line Interface (CLI)
• s3fs
• Hadoop s3a / distcp
• ownCloud external storage
• Transmit for iOS / macOS
• Commvault

存储空间策略是 QingStor 存储空间(bucket)的子资源(subresource),允许用户更细粒度的控制存储空间的访问。 其语义主要由用户、 资源、动作、及条件运算符组合定义。例如仅允许指定用户以指定站点为 Referer 以下载存储空间中的某单个文件，或者防止外链等。

策略属性

• resource
  策略中需要制定控制的资源，可以指定为某些 object, 或者 bucket
• user
  策略所应用到的用户
• effect
  当用户请求特定操作时的效果。可以是允许或者拒绝
• condition
  存储空间策略生效的条件。支持匹配 `Referer` 元素。可用来做防盗链
• action
  设置是否允许（或拒绝）资源的操作

配置示例

1. 在 bucket 页面点击设置->存储空间策略->添加规则
2. 配置添加规则
3. 点击保存，生效设置
4. 配置生成的 bucket policy

   {
       "statement": [
   	{
   	     "id": "hotlink-whitelist",
   	     "user": "*",
   	     "action": "get_object",
   	     "effect": "allow",
   	     "resource": ["foo-bucket/*"],
   	     "condition": {
   		 "string_like": {"Referer": "*.example.com"},
   		 "string_not_like": {"Referer": "*.service.example.com"}
   	      },
   	}
       ]
   }

以上配置将允许从 `*.example.com` 但除了 `*.service.example.com` 以外的链接到 QingStor 用以访问 bucket:`foo-bucket` 下所有 object 的请求被允许。

更多详细介绍请参考相关文档: QingStor Bucket Policy

QingStor 新增了 object copy 接口，使用此接口可将 QingStor 对象从源存储空间复制到目标存储空间，更详细的信息可 参考文档。

在 QingStor Web 界面上，我们也实现了对象拷贝、剪切和重命名的支持。

剪切和复制对象

在文件列表上右键 -> 剪切/复制

粘贴到目标文件夹

文件重命名

在文件列表上右键 -> 重命名

对话框里填写新文件名

qsctl 是青云对象存储服务的高级命令行工具。它提供了更强大的类 UNIX 命令，使管理对象存储的资源变得像管理本地资源一样方便。利用该工具，你可以快速地将数据在本地和 QingStor 对象存储之间迁移或同步。

支持命令

• ls
  列出所有的存储空间，或给定存储空间给定前缀下的所有对象
• cp
  复制本地文件到QingStor存储空间，或复制QingStor对象到本地
• mb
  创建一个新的存储空间
• rb
  删除一个空的存储空间，或强制删除一个非空的存储空间
• mv
  移动本地文件到QingStor存储空间，或移动QingStor对象到本地
• rm
  删除一个QingStor对象或给定前缀下的所有对象
• sync
  在本地目录和QingStor目录之间同步

使用示例

列出存储空间 <mybucket> 下的所有对象:

$ qsctl ls qs://mybucket
Directory test/
2016-04-03 11:16:04 4 Bytes test1.txt
2016-04-03 11:16:04 4 Bytes test2.txt

同步 QingStor 目录到本地文件夹:

$ qsctl sync qs://mybucket/test/ test/
File 'test/README.md' written
File 'test/commands.py' written

qsctl 的帮助和手册十分详细，查看 qsctl 的参数和简易教程，可以通过 -h 参数打印出来:

$ qsctl -h
$ qsctl <command> -h

若要查看 qsctl 的详细手册和示例，可运行:

$ qsctl help
$ qsctl <command> help

使用文档

qsctl 支持主流的操作系统（包括 Linux, Windows,以及 Mac），安装起来非常方便，使用 pip 工具即可，具体步骤可参考 官方文档。

跨源资源共享 (Cross-Origin Resource Sharing，简称 CORS) 是 HTML5 提供的标准跨源解决方案，具体可以参考 W3C CORS规范 。

QingStor 已经支持 CORS ，可以允许您对 QingStor 下的存储空间 (Bucket) 进行 CORS 规则的配置, 从而可以创建直接与 QingStor 进行富交互的 web application，以及限制源对您在 QingStor 中资源的访问,参考 QingStor Bucket CORS 。

典型场景和示例

当浏览器端使用 AJAX 直接访问 QingStor 的数据时,则需要利用 CORS 来实现跨源浏览器与 QingStor 直接通信。

例如，网站的某些静态图片资源存储在 QingStor 的 “images” 这个 bucket 中。如果网站想利用 JavaScript AJAX 取回或者上传图片。当向 bucket 直接发起 GET, POST 请求时，是不被允许的。此时则需要设置 CORS 的规则。

设置示例

主要配置项:

• allowed_origin
  用户所期望的跨源请求来源,可以用 “*” 来进行通配
• allowed_methods
  设置源所允许的 HTTP 方法。可指定以下值的组合: “GET”, “PUT”, “POST”, “DELETE”, “HEAD”, 或者使用 “*” 来进行设置
• allowed_headers
  设置源所允许的 HTTP header 。 可以用 “*” 来进行通配
• expose_headers
  设置客户能够从其应用程序（例如从 JavaScript XMLHttpRequest 对象）进行访问的 HTTP 响应头
• max_age_seconds
  设置在预检请求(Options)被资源、HTTP 方法和源识别之后，浏览器将为预检请求缓存响应的时间（以秒为单位）

操作流程:

1. 在 bucket 页面点击设置 -> CORS -> 添加请求源
2. 配置添加请求源
   
3. 配置完成
   

以上示例配置, 将使您从 http://your-domain.com 发出的对 QingStor bucket 的 AJAX 跨源 GET, POST 请求成功执行，同时缓存预检请求300s，并能从 AJAX 的返回结果中访问到任意的 HTTP header。