Object Storage Service (OSS) バケットが不正なユーザーによってアクセスされると、トラフィックや帯域幅が急増する可能性があります。その結果、予期しないアウトバウンドトラフィック料金が発生します。深刻な場合、バケットがサンドボックスに移動され、OSS が利用できなくなることがあります。このトピックでは、OSS への不正アクセスを防ぐ方法について説明します。
OSS への不正アクセスを防ぐには、以下のいずれかの方法を使用します。
方法 1: バケットの ACL をプライベートに設定する
バケットのアクセス制御リスト (ACL) を公開読み取りに設定し、バケット URL がインターネット上に公開されている場合、すべてのインターネットユーザーが OSS リソースにアクセスできます。バケットの ACL を非公開に設定することを推奨します。これはより安全です。詳細については、「バケット ACL」をご参照ください。
方法 2: WAF 保護を有効にする
カスタムルールに基づいて保護ポリシーを設定するには、ご使用の WAF のバージョンが対象の保護タイプをサポートしていることを確認してください。このうち、[頻度制御] 保護タイプは、サブスクリプションのエンタープライズ版、最上位版、および従量課金版でのみサポートされています。
Web Application Firewall (WAF) 3.0 インスタンスを購入します。詳細な手順については、「WAF 3.0 のクイックスタート」をご参照ください。
CNAME レコードモードで WAF にドメイン名を追加します。
OSS コンソールで、カスタムドメイン名をバケットにマッピングします。
カスタムドメイン名をバケットにマッピングする際、カスタムドメイン名をバケットドメイン名に解決しないでください。詳細については、「カスタムドメイン名による OSS へのアクセス」をご参照ください。
WAF コンソールにログインして、以下の操作を実行します。
WAF にドメイン名を追加します。
WAF を有効にするカスタムドメイン名を追加し、オリジンドメイン名をバケットのドメイン名に設定します。詳細については、「ドメイン名の追加」をご参照ください。
WAF によって割り当てられた CNAME をコピーします。
左側のナビゲーションウィンドウで、[ウェブサイト設定] をクリックします。[ウェブサイト設定] ページで、[CNAME レコード] タブをクリックします。
[ドメイン名 / CNAME] リストで追加したドメイン名を見つけ、そのドメイン名の CNAME をコピーします。
Alibaba Cloud DNS コンソールで、カスタムドメイン名の CNAME レコードを追加します。
詳細については、「DNS レコードの変更」をご参照ください。
保護ポリシーを設定します。
ドメイン名を WAF に追加すると、WAF は自動的にそのドメイン名を保護対象として追加し、保護対象に対して [基本保護ルール] を有効化します。デフォルトでは、[中間ルールグループ] が使用され、保護アクションは [ブロック] に設定されます。詳細については、「WAF 3.0 の使用を開始する」をご参照ください。