ご利用のバケットへの悪意のあるアクセスにより、帯域幅またはトラフィックが急増し、不要なアウトバウンドトラフィック費用が発生する可能性があります。深刻な場合は、ご利用のバケットがサンドボックスに移行され、サービスが利用できなくなることがあります。本トピックでは、OSS リソースへの悪意のあるトラフィックスパイクを防止する方法について説明します。
OSS への悪意のあるトラフィックスパイクを防止するには、以下の 2 つの方法を使用できます。
非公開バケット ACL
ご利用のバケットが公開読み取りに設定されており、その URL がインターネット上で公開されている場合、誰でも OSS リソースにアクセスできます。非公開バケットは公開読み取りバケットよりも安全です。バケット ACL を非公開に設定してください。詳細については、「バケット ACL」をご参照ください。
WAF 保護
カスタムルールに基づく保護ポリシーを設定するには、ご利用のWeb Application Firewall (WAF) エディションが必要な保護タイプをサポートしていることを確認してください。Rate Limiting保護タイプは、サブスクリプションの Enterprise および Ultimate エディション、および従量課金エディションでのみ利用可能です。
-
WAF 3.0 インスタンスを購入します。詳細については、「WAF 3.0 インスタンスの購入」をご参照ください。
-
CNAME レコードを使用して、ご利用のドメイン名を WAF 3.0 に追加します。
-
OSS コンソールで、対象バケットにカスタムドメイン名をバインドします。
このプロセスでは、カスタムドメイン名をバケットのドメイン名に解決する CNAME レコードを作成しないでください。詳細については、「カスタムドメイン名を使用した OSS へのアクセス」をご参照ください。
-
Web Application Firewall (WAF) コンソールで、次の操作を実行します。
-
ドメイン名を追加します。
保護対象ドメインとしてカスタムドメイン名を、オリジンドメインとしてバケットのドメイン名を使用します。詳細については、「ドメイン名の追加」をご参照ください。
-
WAF がドメイン名に割り当てた CNAME アドレスをコピーします。
-
左側のナビゲーションウィンドウで、Web サイト設定 > CNAME レコード を選択します。
-
ドメイン名 /CNAME リストで、追加したドメイン名を探し、その CNAME アドレスをコピーします。

-
-
-
Alibaba Cloud DNS コンソールで、カスタムドメイン名の CNAME レコードを追加し、WAF が提供する CNAME アドレスを指すように設定します。
詳細については、「DNS レコードの変更」をご参照ください。

-
-
保護ポリシーを設定します。
ドメイン名を WAF に追加すると、自動的にデフォルトの基本保護ルールによる保護が適用されます。これらのルールは、中程度のルールグループとブロック操作を使用します。詳細については、「保護ポリシーの設定」をご参照ください。