許可されていないユーザーがObject Storage Service (OSS) バケットにアクセスすると、トラフィックまたは帯域幅が突然急増する可能性があります。 その結果、予想外のアウトバウンドトラフィック料金が発生します。 深刻なケースでは、バケットがサンドボックスに移動され、OSSが利用できなくなることがあります。 このトピックでは、OSSへの不正アクセスを防ぐ方法について説明します。
次のいずれかの方法を使用して、OSSへの不正アクセスを防止できます。
方法1: バケットのACLをprivateに設定する
バケットのアクセス制御リスト (ACL) をパブリック読み取りに設定し、バケットURLがインターネット上に公開されている場合、すべてのインターネットユーザーがOSSリソースにアクセスできます。 バケットのACLをprivateに設定することを推奨します。 これはより安全です。 詳細については、「バケットACL」をご参照ください。
方法2: WAF保護を有効にする
Web Application Firewall (WAF) 3.0インスタンスを購入します。 詳細については、「WAF 3.0の使用を開始する」をご参照ください。
CNAMEレコードモードでWAFにドメイン名を追加します。
OSSコンソールのバケットにカスタムドメイン名をマッピングします。
カスタムドメイン名をバケットにマップするときは、カスタムドメイン名をバケットドメイン名に解決しないでください。 詳細については、「カスタムドメイン名のマップ」をご参照ください。
WAFコンソールにログインして、次の操作を実行します。
WAFにドメイン名を追加します。
WAFを有効にするカスタムドメイン名を追加し、オリジンドメイン名をバケットのドメイン名に設定します。 詳細については、「WAFへのドメイン名の追加」をご参照ください。
WAFによって割り当てられたCNAMEをコピーします。
左側のナビゲーションウィンドウで、[Webサイトの設定] をクリックします。 [Webサイト設定] ページで、[CNAMEレコード] タブをクリックします。
[ドメイン名 /CNAME] リストで追加されたドメイン名を見つけ、ドメイン名のCNAMEをコピーします。
Alibaba Cloud DNSコンソールでカスタムドメイン名のCNAMEレコードを追加します。
詳細については、「DNSレコードの変更」をご参照ください。
保護ポリシーを設定します。
ドメイン名をWAFに追加すると、WAFは自動的にドメイン名を保護オブジェクトとして追加し、保護オブジェクトの基本的な保護ルールを有効にします。 デフォルトでは、中ルールグループが使用され、保護アクションはブロックに設定されています。 詳細については、「WAF 3.0の使用を開始する」をご参照ください。