OSS - 配置审计

oss-bucket-public-read-prohibited

查看您的OSS Bucket是否不允许公开读取访问权限。如果某个OSS Bucket策略或Bucket ACL允许公开读取访问权限，则该Bucket不合规。

触发机制：配置更改

资源：ACS::OSS::Bucket

参数：无

修复指南：查看您的OSS Bucket是否不允许公开读取访问权限。OSS Bucket的读写权限设置为公共读或公共读写时，会导致该规则不合规。对OSS Bucket读写权限进行设置，将OSS Bucket的读写权限设置为私有。配置审计会在10分钟内感知到您的修改并自动启动审计。修复方法如下：

查看OSS Bucket是否不允许公开写入访问权限。如果某个OSS Bucket策略或BucketACL允许公开写入访问权限，则该Bucket不合规。

触发机制：配置更改

资源：ACS::OSS::Bucket

参数：无

修复指南：查看您的OSS Bucket是否不允许公开写入访问权限。OSS Bucket的读写权限设置为公共读写时，会导致该规则不合规。对OSS Bucket读写权限进行设置，将OSS Bucket的读写权限设置为私有或者公共读。配置审计会在10分钟内感知到您的修改并自动启动审计。修复方法如下：

控制台
- 登录OSS管理控制台。
- 在左侧导航栏，单击Bucket列表。
- 在Bucket列表中，单击目标Bucket名称。
- 在目标Bucket概览页面，单击权限管理。
- 在读写权限区域，将Bucket ACL修改为私有或公共读。
- 单击保存。
API
调用PutBucketACL接口修改存储空间（Bucket）的访问权限，将其设置为private（私有）或public-read（公共读），请参见PutBucketACL。

检测OSS Bucket是否开启防盗链开关，已开通视为合规。

触发机制：配置更改

资源：ACS::OSS::Bucket

参数：allowReferers（允许的防盗链列表，多个Referer以英文逗号隔开。）

修复指南：

情况一：规则入参的阈值非空，Bucket的防盗链开关允许空Referer处于开启状态，且设置的Referer白名单（白名单非空）未在阈值列表中，会导致规则不合规。
1. 在OSS管理控制台上，关闭Bucket的防盗链开关允许空Referer。
  操作方法请参见设置防盗链。
2. 在配置审计控制台上，将全部Referer白名单添加到规则参数allowReferers的阈值中。
  操作方法请参见修改规则。
情况二：规则入参的阈值非空，Bucket的防盗链开关允许空Referer处于关闭状态，但设置的Referer白名单未在阈值列表中，会导致规则不合规。
1. 在OSS管理控制台上，查看Referer白名单。
  操作方法请参见设置防盗链。
2. 在配置审计控制台上，将全部Referer白名单添加到规则参数allowReferers的阈值中。
  操作方法请参见修改规则。
情况三：规则入参的阈值为空，Bucket的防盗链开关允许空Referer处于关闭状态，会导致规则不合规。
在OSS管理控制台上，开启Bucket的防盗链允许空Referer，操作方法请参见设置防盗链。

查看并确认您的OSS Bucket开启了服务器端加密功能。

触发机制：配置更改

资源：ACS::OSS::Bucket

参数：无

修复指南：查看您账号下的OSS Bucket是否启用了加密，若未加密，会导致该规则不合规。

将OSS Bucket服务器端加密设置成AES256或者KMS。配置审计会在10分钟内感知到您的修改并自动启动审计。

在OSS管理控制台上，开启服务器端加密功能，操作方法请参见设置服务器端加密。