OSS沙箱

注意事项

• 对于被攻击的Bucket，OSS会将其切入沙箱。如果您的Bucket遭受攻击，您需要自行承担因攻击而产生的全额费用。

• 如果您的用户通过您的Bucket分享涉黄、涉政、涉恐等违法内容，也会导致您的Bucket被切入沙箱。情节严重者，将被追究法律责任。

针对攻击的预防措施

两种方案实现步骤如下：

• 方案一：配置OSS高防

  通过OSS控制台为Bucket配置OSS高防的步骤如下：

  1. 创建高防OSS实例。

  2. 绑定Bucket。

     绑定Bucket后，表明高防OSS实例已对Bucket外网域名开始实施保护。

     OSS高防仅支持防护Bucket外网域名（例如oss-cn-hangzhou.aliyuncs.com），不支持防护以下域名类型，例如：

     • 传输加速域名（oss-accelerate.aliyuncs.com和oss-accelerate-overseas.aliyuncs.com）

     • 接入点域名（例如ap-01-3b00521f653d2b3223680ec39dbbe2****-ossalias.oss-cn-hangzhou.aliyuncs.com）

     • 对象FC接入点域名（例如fc-ap-01-3b00521f653d2b3223680ec39dbbe2****-opapalias.oss-cn-hangzhou.aliyuncs.com）

     • 通过IPv6协议访问的Endpoint（例如cn-hangzhou.oss.aliyuncs.com）

     • Amazon S3Endpoint（例如s3.oss-cn-hongkong.aliyuncs.com）。

     更多信息，请参见OSS高防。

• 方案二：配置ECS反向代理并绑定高防IP

  配置ECS反向代理并绑定高防IP的步骤如下：

  1. 配置ECS反向代理。

     1. 创建一个CentOS或Ubuntu的ECS实例。具体操作，请参见创建ECS实例。

        重要

        如果Bucket有较大的网络流量或访问请求，请提高ECS硬件配置或者搭建ECS集群。

     2. 配置以ECS反向代理的方式访问OSS。具体操作，请参见配置OSS反向代理。

  2. 绑定高防IP。

     1. 结合业务情况购买合适的高防IP。购买页面，请参见高防IP。

     2. 绑定高防IP。其中，网站填写您ECS绑定的域名，服务器地址选择源站IP，并填写ECS的外网IP地址。其他参数的配置说明，请参见添加网站。

针对违法内容的预防措施

为防止您的Bucket因分享涉黄、涉政、涉恐等违法内容被切入沙箱，建议您使用阿里云内容安全服务的OSS违规检测功能，对您选中的Bucket进行定期的多样化场景检测，有效降低涉黄、涉政、涉恐的风险。

更多信息，请参见OSS内容安全检测。

Bucket被切入沙箱如何处理

针对被切入沙箱的Bucket，阿里云不提供Bucket的迁出服务。以下介绍了因攻击或者发布违法内容的原因导致Bucket被切入沙箱后的处理方式。

• 因攻击原因导致Bucket被切入沙箱

  针对以下两种情况，您需要为Bucket配置OSS高防。

  • 因多次攻击已被切入沙箱的Bucket。

  • 某个账号下的Bucket多次遭受攻击，则该账号下已有的Bucket以及后续新建的Bucket默认也会切入沙箱。

  具体步骤，请参见配置OSS高防。OSS高防配置完成后，进入沙箱的Bucket会自动从沙箱中切换至您的原生IP或者高防IP。

• 因发布违法内容导致Bucket被切入沙箱

  • 针对已切入沙箱的Bucket，请执行以下操作：

    1. 通过阿里云内容安全服务定期检测您的Bucket，保证不再发布违规内容。具体操作，请参见OSS违规检测。

    2. 配置ECS反向代理，并通过代理服务器进行访问。具体操作，请参见方案二：配置ECS反向代理并绑定高防IP。

       重要

       请在Bucket所在的Region搭建ECS，并且将proxy_pass填写为Bucket内网域名地址。

  • 如果您账号下多个Bucket同时发布违法内容或单个Bucket多次发布违法内容，则该账号下已有的Bucket以及后续新建的Bucket默认也会切入沙箱。针对这种情况，您需要执行如下步骤：

    1. 开通内容安全服务。

    2. 申请新建Bucket默认不进入沙箱。

    3. 申请通过后，配置内容安全检测，定期检测您新建的Bucket。