OSS 安全措施
1、自定义域名
避免 OSS 的真实域名暴露,官方指引
1.1、域名定义
绑定非阿里云账号注册的域名。
主域名 shiwokuaile.top,定义二级域名作为 OSS 的自定义域名,例如:xxxx.shiwokuaile.top。
1.2、验证自定义域名
在 OSS 控制台的域名管理中,绑定二级域名,得到 TXT 解析记录,然后添加 TXT 的解析记录,验证域名的所有权。
| 参数 | 说明 |
|---|---|
| TXT | 记录类型 |
| 主机记录 | 如果绑定二级域名,例如:xxxx.shiwokuaile.top 那么主机记录为: _dnsauth xxxx |
| 记录值 | OSS 域名管理自动生成 |
1.3、配置解析
设置二级域名对 OSS 的 DNS 解析,将二级域名的请求转发到 OSS 。
| 参数 | 说明 |
|---|---|
| CNAME | 记录类型 |
| 主机记录 | 如果绑定二级域名,例如:xxxx.shiwokuaile.top 那么主机记录为: xxxx |
| 记录值 | OSS Bucket 实际域名 |
1.4、配置 SSL 证书
申请 SSL 证书,添加 CNAME 解析记录。
下载 SSL 证书(Nginx),并将证书的内容上传到到阿里云的 SSL 证书管理中。
在 OSS 控制台的域名管理中,添加 SSL 证书。
1.5、验证
nslookup -type=CNAME xxxx.shiwokuaile.top2、防盗链
防止其他网站盗用自身图片资源,在 OSS 的防盗链管理中,添加黑白名单。
3、ACL 权限控制
设置 OSS Bucket 的 ACL 读写权限,如果 OSS Bucket 没有公共读的场景,那么阻止 OSS Bucket 公共读,降低 OSS Bucket 的可见性。
4、阈值告警
进入阿里云控制后台,创建报警规则,主要针对 OSS 下行流量是否异常,及时发现流量被盗刷。
5、告警回调
使用阿里云 OSS 的告警回调功能,在触发告警时,回调自定义接口。该接口通过更改 OSS ACL 访问权限,拒绝恶意请求,实现流量熔断。