oss-bucket-public-read-prohibited

查看您的OSS存储桶是否不允许公开读取访问权限。如果某个OSS存储桶策略或存储桶 ACL 允许公开读取访问权限,则该存储桶不合规。

阿里云2000元代金券免费领,最新优惠1折抢购,2核4G云服务器仅799元/3年,新老用户同享,立即抢购>>>

Trigger type: 配置更改

资源:ACS::OSS::Bucket

参数:无

修复指南:查看您的OSS存储桶是否不允许公开读取访问权限。OSS存储桶的读写权限设置为公共读/公共读写时,会导致该规则不合规。对OSS存储桶读写权限进行设置,将OSS存储桶的读写权限设置为私有。Config会在10分钟内感知到您的修改并自动启动审计。

控制台操作:进入OSS存储桶控制台,通过存储桶-基础设置修改存储桶的读写权限

OSS_预设规则_资源合规审计_配置审计

API操作:调用PutBucketACL接口用于修改存储空间(Bucket)的访问权限,设置成private(私有)。

oss-bucket-public-write-prohibited

查看OSS存储桶是否不允许公开写入访问权限。如果某个OSS存储桶策略或存储桶 ACL 允许公开写入访问权限,则该存储桶不合规。

Trigger type: 配置更改

资源:ACS::OSS::Bucket

参数:无

修复指南:查看您的OSS存储桶是否不允许公开写入访问权限。OSS存储桶的读写权限设置为公共读写时,会导致该规则不合规。对OSS存储桶读写权限进行设置,将OSS存储桶的读写权限设置为私有或者公共读。Config会在10分钟内感知到您的修改并自动启动审计。

控制台操作:进入OSS存储桶控制台,通过存储桶-基础设置修改存储桶的读写权限。

OSS_预设规则_资源合规审计_配置审计

API操作:调用PutBucketACL接口用于修改存储空间(Bucket)的访问权限,设置成private(私有)、public-read(公共读)。

oss-bucket-referer-limit

检测OSS存储桶是否开启防盗链开关,已开通视为合规。

Trigger type: 配置更改

资源:ACS::OSS::Bucket

参数:

allowReferers

允许的防盗链列表(多个Referer以逗号隔开)。

修复指南:

情况一:规则参数阈值非空,OSS存储桶设置的防盗链Referer白名单(白名单非空)未在阈值列表或者防盗链开启允许空 Referer,会导致规则不合规。

情况二:规则参数阈值非空,防盗链关闭允许空 Referer,OSS存储桶设置的防盗链Referer白名单为空会导致规则不合规。

情况三:规则参数阈值为空时,防盗链关闭允许空 Referer,会导致规则不合规。

针对情况一:

防盗链关闭允许空 Referer,并且将referfer白名单的值全部在规则参数allowReferers的规则参数阈值中列出。Config会在10分钟内感知到您的修改并自动启动审计。

针对情况二:

设置referfer白名单,并且将白名单的值全部在规则参数allowReferers的规则参数阈值中列出。Config会在10分钟内感知到您的修改并自动启动审计。

针对情况三:

防盗链开启允许空 Referer。Config会在10分钟内感知到您的修改并自动启动审计。

控制台操作:概览-基础设置-防盗链中设置信息

OSS_预设规则_资源合规审计_配置审计

API操作:调用PutBucketReferer接口设置Referer的访问白名单以及是否允许Referer字段为空。

oss-bucket-server-side-encryption-enabled

查看并确认您的OSS存储桶启用了默认加密。

Trigger type: 配置更改

资源:ACS::OSS::Bucket

参数:无

修复指南:

查看您账号下的OSS存储桶是否启用了加密,若未加密,会导致该规则不合规。

将OSS存储桶服务器端加密设置成AES256或者KMS。Config会在10分钟内感知到您的修改并自动启动审计。

控制台操作:进入OSS存储桶控制台,通过存储桶-基础设置修改存储桶的服务器端加密方式。

OSS_预设规则_资源合规审计_配置审计