リファラーホワイトリストまたはリファラーブラックリストを設定し、Object Storage Service (OSS) バケットに空のリファラーを含むリクエストを許可するかどうかを指定して、バケット内のリソースへの不正アクセスと予期しないトラフィック料金を防止できます。
使用上の注意
ホットリンク保護を設定する前に、この機能に慣れていることを確認してください。 詳細については、「ホットリンク保護」をご参照ください。
このトピックでは、中国 (杭州) リージョンのパブリックエンドポイントを使用します。 OSSと同じリージョンにある他のAlibaba CloudサービスからOSSにアクセスする場合は、内部エンドポイントを使用します。 OSSリージョンとエンドポイントの詳細については、「リージョンとエンドポイント」をご参照ください。
このトピックでは、アクセス資格情報は環境変数から取得します。 アクセス資格情報の設定方法の詳細については、「アクセス資格情報の設定」をご参照ください。
このトピックでは、OSSエンドポイントを使用してOSSClientインスタンスを作成します。 カスタムドメイン名またはSTS (Security Token Service) を使用してOSSClientインスタンスを作成する場合は、「初期化」をご参照ください。
ホットリンク保護を設定するには、
oss:PutBucketReferer
権限が必要です。 ホットリンク保護設定をクエリするには、oss:GetBucketReferer
権限が必要です。 詳細については、「RAMユーザーへのカスタムポリシーのアタッチ」をご参照ください。
バケットのホットリンク保護の設定
次のサンプルコードは、バケットのホットリンク保護を設定する方法の例を示しています。
# -*-コーディング: utf-8 -*-
oss2のインポート
oss2.credentialsからEnvironmentVariableCredentialsProviderをインポート
oss2.modelsからBucketRefererをインポート
# 環境変数からアクセス資格情報を取得します。 コードを実行する前に、OSS_ACCESS_KEY_IDおよびOSS_ACCESS_KEY_SECRET環境変数が設定されていることを確認してください。
auth = oss2.ProviderAuth(EnvironmentVariableCredentialsProvider())
# バケットが配置されているリージョンのエンドポイントを指定します。 たとえば、バケットが中国 (杭州) リージョンにある場合、エンドポイントをhttps://oss-cn-hangzhou.aliyuncs.comに設定します。
// Specify the bucket name.
bucket = oss2.Bucket(auth, 'https:// oss-cn-hangzhou.aliyuncs.com ', 'examplebucket')
# 空のリファラーフィールドを許可するように指定します。
allow_empty_referer = True
# リファラーホワイトリストを指定します。
リファラー= ['http:// www.aliyun.com ', 'https:// www.aliyun.com']
# リファラーブラックリストを指定します。
# black_referers = ['http:// example.com ', 'http:// * .example.com']
# クエリ文字列を切り捨てることができることを指定します。
allow_truncate_query_string = True
# ホットリンク保護を設定します。
bucket.put_bucket_referer(BucketReferer(allow_empty_referer=allow_empty_referer, referers=referers, black_referers=black_referers,allow_truncate_query_string=allow_truncate_query_string))
バケットのホットリンク保護設定の照会
次のサンプルコードは、バケットのホットリンク設定を照会する方法の例を示しています。
# -*-コーディング: utf-8 -*-
oss2のインポート
oss2.credentialsからEnvironmentVariableCredentialsProviderをインポート
# 環境変数からアクセス資格情報を取得します。 コードを実行する前に、OSS_ACCESS_KEY_IDおよびOSS_ACCESS_KEY_SECRET環境変数が設定されていることを確認してください。
auth = oss2.ProviderAuth(EnvironmentVariableCredentialsProvider())
# バケットが配置されているリージョンのエンドポイントを指定します。 たとえば、バケットが中国 (杭州) リージョンにある場合、エンドポイントをhttps://oss-cn-hangzhou.aliyuncs.comに設定します。
# バケットの名前を指定します。
bucket = oss2.Bucket(auth, 'https:// oss-cn-hangzhou.aliyuncs.com ', 'yourBucketName')
config = bucket.get_bucket_referer()
print('allow empty referer={0}, referers={1}'.format(config.allow_empty_referer, config.referers))
ホットリンク保護設定のクリア
次のサンプルコードは、バケットのホットリンク保護設定を削除する方法の例を示しています。
# -*-コーディング: utf-8 -*-
oss2のインポート
oss2.modelsからBucketRefererをインポート
oss2.credentialsからEnvironmentVariableCredentialsProviderをインポート
# 環境変数からアクセス資格情報を取得します。 コードを実行する前に、OSS_ACCESS_KEY_IDおよびOSS_ACCESS_KEY_SECRET環境変数が設定されていることを確認してください。
auth = oss2.ProviderAuth(EnvironmentVariableCredentialsProvider())
# バケットが配置されているリージョンのエンドポイントを指定します。 たとえば、バケットが中国 (杭州) リージョンにある場合、エンドポイントをhttps://oss-cn-hangzhou.aliyuncs.comに設定します。
# バケットの名前を指定します。
bucket = oss2.Bucket(auth, 'https:// oss-cn-hangzhou.aliyuncs.com ', 'yourBucketName')
# バケットのホットリンク保護設定を直接クリアすることはできません。 既存のホットリンク保護設定を上書きするには、空のRefererヘッダーを持つリクエストを許可する新しいホットリンク保護ルールを設定する必要があります。
bucket.put_bucket_referer(BucketReferer(True, []))
参考資料
バケットのホットリンク保護を設定するために呼び出すことができるAPI操作の詳細については、「PutBucketReferer」をご参照ください。
バケットのホットリンク保護設定を照会するために呼び出すことができるAPI操作の詳細については、「GetBucketReferer」をご参照ください。