本文介绍配置审计为对象存储(OSS)提供的托管规则详情,以及当规则不合规时的修复方法。

oss-bucket-public-read-prohibited

查看您的OSS Bucket是否不允许公开读取访问权限。如果某个OSS Bucket策略或Bucket ACL允许公开读取访问权限,则该Bucket不合规。

触发机制:配置更改

资源:ACS::OSS::Bucket

参数:无

修复指南:查看您的OSS Bucket是否不允许公开读取访问权限。OSS Bucket的读写权限设置为公共读或公共读写时,会导致该规则不合规。对OSS Bucket读写权限进行设置,将OSS Bucket的读写权限设置为私有。配置审计会在10分钟内感知到您的修改并自动启动审计。修复方法如下:
  • 控制台
    • 登录OSS管理控制台
    • 在左侧导航栏,单击Bucket列表
    • Bucket列表中,单击目标Bucket名称。
    • 在目标Bucket概览页面,单击权限管理
    • 读写权限区域,将Bucket ACL修改为私有
    • 单击保存
  • API

    调用PutBucketACL接口修改存储空间(Bucket)的访问权限,将其设置为private(私有),请参见PutBucketACL

oss-bucket-public-write-prohibited

查看OSS Bucket是否不允许公开写入访问权限。如果某个OSS Bucket策略或BucketACL允许公开写入访问权限,则该Bucket不合规。

触发机制:配置更改

资源:ACS::OSS::Bucket

参数:无

修复指南:查看您的OSS Bucket是否不允许公开写入访问权限。OSS Bucket的读写权限设置为公共读写时,会导致该规则不合规。对OSS Bucket读写权限进行设置,将OSS Bucket的读写权限设置为私有或者公共读。配置审计会在10分钟内感知到您的修改并自动启动审计。修复方法如下:
  • 控制台
    • 登录OSS管理控制台
    • 在左侧导航栏,单击Bucket列表
    • Bucket列表中,单击目标Bucket名称。
    • 在目标Bucket概览页面,单击权限管理
    • 读写权限区域,将Bucket ACL修改为私有公共读
    • 单击保存
  • API

    调用PutBucketACL接口修改存储空间(Bucket)的访问权限,将其设置为private(私有)或public-read(公共读),请参见PutBucketACL

oss-bucket-referer-limit

检测OSS Bucket是否开启防盗链开关,已开通视为合规。

触发机制:配置更改

资源:ACS::OSS::Bucket

参数:allowReferers(允许的防盗链列表,多个Referer以英文逗号隔开。)

修复指南:
  • 情况一:规则入参的阈值非空,Bucket的防盗链开关允许空Referer处于开启状态,且设置的Referer白名单(白名单非空)未在阈值列表中,会导致规则不合规。
    1. 在OSS管理控制台上,关闭Bucket的防盗链开关允许空Referer。

      操作方法请参见设置防盗链

    2. 在配置审计控制台上,将全部Referer白名单添加到规则参数allowReferers的阈值中。

      操作方法请参见修改规则

  • 情况二:规则入参的阈值非空,Bucket的防盗链开关允许空Referer处于关闭状态,但设置的Referer白名单未在阈值列表中,会导致规则不合规。
    1. 在OSS管理控制台上,查看Referer白名单。

      操作方法请参见设置防盗链

    2. 在配置审计控制台上,将全部Referer白名单添加到规则参数allowReferers的阈值中。

      操作方法请参见修改规则

  • 情况三:规则入参的阈值为空,Bucket的防盗链开关允许空Referer处于关闭状态,会导致规则不合规。

    在OSS管理控制台上,开启Bucket的防盗链允许空Referer,操作方法请参见设置防盗链

oss-bucket-server-side-encryption-enabled

查看并确认您的OSS Bucket开启了服务器端加密功能。

触发机制:配置更改

资源:ACS::OSS::Bucket

参数:无

修复指南:查看您账号下的OSS Bucket是否启用了加密,若未加密,会导致该规则不合规。

将OSS Bucket服务器端加密设置成AES256或者KMS。配置审计会在10分钟内感知到您的修改并自动启动审计。

在OSS管理控制台上,开启服务器端加密功能,操作方法请参见设置服务器端加密