Jika bucket Object Storage Service (OSS) diakses oleh pengguna yang tidak berwenang, lonjakan lalu lintas atau bandwidth dapat terjadi secara tiba-tiba, sehingga menimbulkan biaya outbound traffic yang tidak terduga. Dalam kasus parah, bucket bahkan dapat dipindahkan ke sandbox, menyebabkan OSS menjadi tidak tersedia. Topik ini menjelaskan cara mencegah akses tidak sah ke OSS.
Gunakan salah satu metode berikut untuk mencegah akses tidak sah ke OSS:
Metode 1: Atur ACL bucket menjadi private
Jika Anda mengatur access control list (ACL) bucket ke public-read dan URL bucket tersebut terekspos di Internet, semua pengguna Internet dapat mengakses sumber daya OSS Anda. Untuk keamanan yang lebih baik, kami menyarankan agar Anda mengatur ACL bucket menjadi private. Untuk informasi selengkapnya, lihat Bucket ACL.
Metode 2: Aktifkan proteksi WAF
Untuk mengonfigurasi kebijakan perlindungan berdasarkan Custom rules, pastikan versi WAF yang digunakan mendukung jenis perlindungan yang dituju. Jenis perlindungan 频率控制 hanya didukung oleh edisi Enterprise tahunan/bulanan, edisi Flagship, dan edisi pay-as-you-go.
Beli instans Web Application Firewall (WAF) 3.0. Untuk petunjuk lebih lanjut, lihat Memulai WAF 3.0.
Tambahkan Nama domain ke WAF dalam Mode rekaman CNAME.
Petakan nama domain kustom ke bucket di Konsol OSS.
Saat memetakan nama domain kustom ke bucket, jangan arahkan (resolve) nama domain kustom tersebut ke nama domain bucket. Untuk informasi selengkapnya, lihat Mengakses OSS melalui nama domain kustom.
Masuk ke Konsol WAF untuk melakukan langkah-langkah berikut:
Tambahkan nama domain ke WAF.
Tambahkan nama domain kustom yang ingin Anda aktifkan proteksi WAF-nya, lalu atur nama domain origin ke nama domain bucket tersebut. Untuk informasi selengkapnya, lihat Menambahkan nama domain.
Salin CNAME yang diberikan oleh WAF.
Di panel navigasi sebelah kiri, klik Website Configuration. Pada halaman Website Configuration, klik tab CNAME Record.
Temukan nama domain yang telah ditambahkan dalam daftar Domain Name /CNAME, lalu salin CNAME-nya.
Tambahkan rekaman CNAME untuk nama domain kustom di Konsol DNS Alibaba Cloud.
Untuk informasi selengkapnya, lihat Mengubah rekaman DNS.
Konfigurasikan kebijakan perlindungan.
Setelah Anda menambahkan nama domain ke WAF, WAF secara otomatis menambahkannya sebagai objek yang dilindungi dan mengaktifkan basic protection rules untuk objek tersebut. Secara default, medium rule group digunakan, dan aksi perlindungan diatur ke Block. Untuk informasi selengkapnya, lihat Memulai WAF 3.0.