本文介绍配置审计为对象存储(OSS)提供的托管规则详情,以及当规则不合规时的修复方法。
oss-bucket-public-read-prohibited
查看您的OSS Bucket是否不允许公开读取访问权限。如果某个OSS Bucket策略或Bucket ACL允许公开读取访问权限,则该Bucket不合规。
触发机制:配置更改
资源:ACS::OSS::Bucket
参数:无
- 控制台
- 登录OSS管理控制台。
- 在左侧导航栏,单击Bucket列表。
- 在Bucket列表中,单击目标Bucket名称。
- 在目标Bucket概览页面,单击权限管理。
- 在读写权限区域,将Bucket ACL修改为私有。
- 单击保存。
- API
调用PutBucketACL接口修改存储空间(Bucket)的访问权限,将其设置为private(私有),请参见PutBucketACL。
oss-bucket-public-write-prohibited
查看OSS Bucket是否不允许公开写入访问权限。如果某个OSS Bucket策略或BucketACL允许公开写入访问权限,则该Bucket不合规。
触发机制:配置更改
资源:ACS::OSS::Bucket
参数:无
- 控制台
- 登录OSS管理控制台。
- 在左侧导航栏,单击Bucket列表。
- 在Bucket列表中,单击目标Bucket名称。
- 在目标Bucket概览页面,单击权限管理。
- 在读写权限区域,将Bucket ACL修改为私有或公共读。
- 单击保存。
- API
调用PutBucketACL接口修改存储空间(Bucket)的访问权限,将其设置为private(私有)或public-read(公共读),请参见PutBucketACL。
oss-bucket-referer-limit
检测OSS Bucket是否开启防盗链开关,已开通视为合规。
触发机制:配置更改
资源:ACS::OSS::Bucket
参数:allowReferers(允许的防盗链列表,多个Referer以英文逗号隔开。)
- 情况一:规则入参的阈值非空,Bucket的防盗链开关允许空Referer处于开启状态,且设置的Referer白名单(白名单非空)未在阈值列表中,会导致规则不合规。
- 情况二:规则入参的阈值非空,Bucket的防盗链开关允许空Referer处于关闭状态,但设置的Referer白名单未在阈值列表中,会导致规则不合规。
- 情况三:规则入参的阈值为空,Bucket的防盗链开关允许空Referer处于关闭状态,会导致规则不合规。
在OSS管理控制台上,开启Bucket的防盗链允许空Referer,操作方法请参见设置防盗链。
oss-bucket-server-side-encryption-enabled
查看并确认您的OSS Bucket开启了服务器端加密功能。
触发机制:配置更改
资源:ACS::OSS::Bucket
参数:无
修复指南:查看您账号下的OSS Bucket是否启用了加密,若未加密,会导致该规则不合规。
将OSS Bucket服务器端加密设置成AES256或者KMS。配置审计会在10分钟内感知到您的修改并自动启动审计。
在OSS管理控制台上,开启服务器端加密功能,操作方法请参见设置服务器端加密。
在文档使用中是否遇到以下问题
更多建议
匿名提交