关于oss:配置审计Config配合开启OSS防盗链功能

55次阅读

共计 2391 个字符,预计需要花费 6 分钟才能阅读完成。

简介:本文作者:紫极 zj
本文将次要介绍利用【配置审计】性能,如何疾速发现企业上云过程中,针对未配置防盗链的 OSS Bucket 定位及修复案例。

前言

配置审计(Config)将您扩散在各地区的资源整合为全局资源列表,可便捷地搜寻全局资源;同时帮忙您记录云上 IT 资源的配置变更历史,继续主动地评估云上资源配置的合规性,实现云上 IT 合规治理。本文介绍如何应用配置审计(Config)帮忙您疾速发现未配置防盗链的 OSS Bucket 并修复的案例。

理论案例

公司 A 有 10 个垂直的业务部门,每个业务部门调配了 1~2 个 OSS Bucket 用于存储经营图片,并间接在网页上应用的 OSS 生成的链接做图片内容的展现。咱们晓得 OSS 的费用分为存储费和流量费,当大量的内部申请获取图片资源时,产生的流量费用须要客户自行承当。为了杜绝不法网站盗用图片资源,OSS 开发了“防盗链”性能,具体的性能阐明请参考: 防盗链
公司 A 打算应用该技术计划,须要为 OSS Bucket 开启防盗链,并且设置 referer 白名单为 .alibaba.com 和 .aliyun.com。作为公司的运维同学,十分不心愿每个 Bucket 都查看并参考文档配置一遍,同时还须要额定制订对策避免 Bucket 配置被二次批改。

这时候,他想起了阿里云的一款云产品:配置审计(Config)。

咱们能够将配置审计(Config)的能力简略概括为 3 点:

  1. 对立的资源视角,多地区,甚至跨账号;
  2. 规定(Rule)检测资源配置是否满足要求;
  3. 继续检测资源及修复能力;

配置审计(Config)是如何工作的?

资源的配置数据通过异步音讯告诉会中心化的存储在配置审计(Config)的数据库中。规定会采纳定时、变更被动触发、用户被动触发的形式来对数据库的资源配置进行评估,将评估后果展示给用户,同时会依据规定设置判断是否须要进行修改,如执行修改工作,新的资源配置数据会从新被配置审计(Config)感知进入到下一次的评估循环中。咱们一起来看看公司 A 的运维同学是如何通过配置审计(Config)实现工作的。

设置规定

关上配置审计控制台,进入规定列表,点击新建规定,即可看到配置审计(Config)为用户提供的大量的托管规定(托管规定由平台开发并提供给用户应用),搜寻“防盗链”或“referer”都能够搜寻到该规定:OSS 存储空间开启防盗链性能。

点击利用规定,

第一步:设置规定名称、自定义危险等级、自定义备注信息;
第二步:能够依据理论的业务场景限定须要查看的资源的范畴;可选项包含资源 ID、资源组 ID、地区、标签等;
第三步:设置容许的 referer 白名单及是否容许 referer 为空;

第四步:设置是否开启主动修复,咱们临时先跳过,后续再探讨;
第五步:预览并提交

规定评估

规定创立实现后,规定便开始对存量的 Bucket 配置进行合规性的评估,参考规定的评估阐明,“OSS 存储空间开启防盗链性能,视为合规”,该规定通过查看 Bucket 配置信息中的 RefererList.Referer 不为空断定开启防盗链性能是否合规。

规定评估实现后会生成一份评估后果,标注累计评估资源数、合规资源数、不合规资源数;您能够基于这份查看后果去手动配置。留神:对于新增的 OSS Bucket 同样会自动检测其合规性。

下图为检测后果:累计检测 23 个 OSS Bucket,23 个不合规,示意这 23 个 OSS Bucket 均未开启防盗链性能。

如何修复

如果 Bucket 的数量很多,沉重的人工配置可能会带来操作上的失误,别着急,配置审计(Config)提供修改能力,对于规定评估出的不合规资源联合运维编排(OOS)将其修复。可在规定详情页 -> 修改详情,而后点击“修改配置”,实现修改配置。

留神有一个选项为:“主动修改 / 手动修改”,咱们临时勾选为“手动修改”。

这时候,在修改详情 tab,将会呈现“执行手动修改”的按钮,点击此按钮,则手动触发对不合规资源的修复工作。

因为修复工作是异步发动的,您能够间接去对象存储的控制台 -> 存储桶 -> 权限治理 -> 防盗链查看是否修改胜利,也可略微期待一段时间(10 分钟左右)再来配置审计(Config)控制台查看最新的配置信息。

如上图所示,修复动作曾经执行实现,OSS Bucket 防盗链曾经失常设置,回到配置审计控制台,持续期待片刻,修复触发的资源变更数据会回流到配置审计(Config)触发规定的再一次评估,这时候咱们发现所有的资源都变成合规状态。

继续评估并修复

如何保障其余运维人员在后续的工夫里不再扭转该配置呢?组织外部运行机制可能勉强实现工作,然而人总是会犯错误的。咱们能够借助配置审计(Config)的继续检测及修复能力。在方才配置修复设置中,将“手动执行”批改为“主动执行”,一旦资源产生了不合理的变更,配置审计(Config)将会辨认并将其主动纠正为正确的配置,避免异样批改。

如,咱们在 OSS 控制台将某个 OSS Bucket 的配置规定批改为,改变点: .alibaba.com 改成了 .alibaba-inc.com

略微期待几分钟,咱们会发现:

这里呈现了咱们方才设置的谬误的防盗链名单的 OSS Bucket,此时,主动修改曾经触发,之所以还有 1 个显示为不合规,是因为配置审计(Config)须要期待修改后的正确置达到中心化的数据库能力进行再一次的规定评估,将不合规资源评估为合规状态。
![image.png](/imgyuanyyyy
咱们再次回到 OSS Bucket 控制台查看最新的资源配置是否失效。

配置被从新设置回了 .alibaba.com .aliyun.com。

总结

以上就是应用配置审计(Config)检测不合规配置并继续主动修复的全部内容,咱们通过设置规定,规定评估及修复等实现从发现问题,定位资源,到手动、主动变配,造成了问题在配置审计(Config)的闭环。
原文链接

本文为阿里云原创内容,未经容许不得转载。

正文完
 0