配置审计(Config)配合开启OSS防盗链功能
前言
配置審計(Config)將您分散在各地域的資源整合為全局資源列表,可便捷地搜索全局資源;同時幫助您記錄云上 IT 資源的配置變更歷史,持續自動地評估云上資源配置的合規性,實現云上 IT 合規治理。本文介紹如何使用配置審計(Config)幫助您快速發現未配置防盜鏈的 OSS Bucket 并修復的案例。
實際案例
公司 A 有 10 個垂直的業務部門,每個業務部門分配了 1~2 個 OSS Bucket 用于存儲運營圖片,并直接在網頁上使用的 OSS 生成的鏈接做圖片內容的展示。我們知道 OSS 的費用分為存儲費和流量費,當大量的外部請求獲取圖片資源時,產生的流量費用需要客戶自行承擔。為了杜絕不法網站盜用圖片資源,OSS 開發了“防盜鏈”功能,詳細的功能說明請參考: 防盜鏈
公司 A 打算使用該技術方案,需要為 OSS Bucket 開啟防盜鏈,并且設置 referer 白名單為 *.alibaba.com 和 *.aliyun.com 。作為公司的運維同學,非常不希望每個 Bucket 都檢查并參考文檔配置一遍,同時還需要額外制定對策防止 Bucket 配置被二次修改。
這時候,他想起了阿里云的一款云產品:配置審計(Config)。
我們可以將配置審計(Config)的能力簡單概括為3點:
配置審計(Config)是如何工作的?
資源的配置數據通過異步消息通知會中心化的存儲在配置審計(Config)的數據庫中。規則會采用定時、變更被動觸發、用戶主動觸發的方式來對數據庫的資源配置進行評估, 將評估結果展現給用戶,同時會根據規則設置判斷是否需要進行修正,如執行修正任務,新的資源配置數據會重新被配置審計(Config)感知進入到下一次的評估循環中。我們一起來看看公司 A 的運維同學是如何通過配置審計(Config)完成任務的。
設置規則
打開配置審計控制臺,進入規則列表,點擊新建規則,即可看到配置審計(Config)為用戶提供的大量的托管規則(托管規則由平臺開發并提供給用戶使用),搜索“防盜鏈”或“referer”都可以搜索到該規則:OSS 存儲空間開啟防盜鏈功能。
點擊應用規則,
第一步:設置規則名稱、自定義風險等級、自定義備注信息;
第二步:可以根據實際的業務場景限定需要檢查的資源的范圍;可選項包括資源 ID、資源組 ID、地域、標簽等;
第三步:設置允許的 referer 白名單及是否允許 referer 為空;
第四步: 設置是否開啟自動修復,我們暫時先跳過,后續再討論;
第五步:預覽并提交
規則評估
規則創建完成后,規則便開始對存量的 Bucket 配置進行合規性的評估,參考規則的評估說明, “OSS 存儲空間開啟防盜鏈功能,視為合規”,該規則通過檢查 Bucket 配置信息中的 RefererList.Referer 不為空判定開啟防盜鏈功能是否合規。
?
規則評估完成后會生成一份評估結果,標注累計評估資源數、合規資源數、不合規資源數;您可以基于這份檢查結果去手動配置。注意:對于新增的 OSS Bucket 同樣會自動檢測其合規性。
下圖為檢測結果:累計檢測 23 個 OSS Bucket,23 個不合規,表示這 23 個 OSS Bucket 均未開啟防盜鏈功能。
如何修復
如果 Bucket 的數量很多,繁重的人工配置可能會帶來操作上的失誤,別著急,配置審計(Config)提供修正能力,對于規則評估出的不合規資源結合運維編排(OOS)將其修復。可在規則詳情頁->修正詳情,然后點擊“修正配置”,完成修正配置。
注意有一個選項為:“自動修正/手動修正”,我們暫時勾選為“手動修正”。
這時候,在修正詳情 tab,將會出現“執行手動修正”的按鈕,點擊此按鈕,則手動觸發對不合規資源的修復任務。
由于修復任務是異步發起的,您可以直接去對象存儲的控制臺->存儲桶-> 權限管理 -> 防盜鏈查看是否修正成功,也可稍微等待一段時間(10分鐘左右)再來配置審計(Config)控制臺查看最新的配置信息。
如上圖所示,修復動作已經執行完成,OSS Bucket 防盜鏈已經正常設置, 回到配置審計控制臺,繼續等待片刻,修復觸發的資源變更數據會回流到配置審計(Config)觸發規則的再一次評估,這時候我們發現所有的資源都變成合規狀態。
持續評估并修復
如何保證其他運維人員在后續的時間里不再改變該配置呢?組織內部運行機制能夠勉強完成任務,但是人總是會犯錯誤的。我們可以借助配置審計(Config)的持續檢測及修復能力。 在剛才配置修復設置中,將“手動執行”修改為“自動執行”,一旦資源發生了不合理的變更,配置審計(Config)將會識別并將其自動糾正為正確的配置,防止異常修改。
如,我們在 OSS 控制臺將某個 OSS Bucket 的配置規則修改為,改動點: *.alibaba.com 改成了 *.alibaba-inc.com
稍微等待幾分鐘,我們會發現:
這里出現了我們剛才設置的錯誤的防盜鏈名單的 OSS Bucket,此時,自動修正已經觸發,之所以還有 1 個顯示為不合規,是因為配置審計(Config)需要等待修正后的正確置到達中心化的數據庫才能進行再一次的規則評估,將不合規資源評估為合規狀態。
如上圖,經過大約 10 分鐘的時間,最新的 Bucket 配置信息已經到達配置審計,規則評估觸發認定為“合規”。
我們再次回到 OSS Bucket 控制臺查看最新的資源配置是否生效。
配置被重新設置回了 *.alibaba.com *.aliyun.com 。
總結
以上就是使用配置審計(Config)檢測不合規配置并持續自動修復的全部內容,我們通過設置規則,規則評估及修復等完成從發現問題,定位資源,到手動、自動變配,形成了問題在配置審計(Config)的閉環。
另外,我們還有很多適用于更復雜業務場景的規則及合規包,可以幫助企業運維、企業合規項目的同學們更高效地完成工作。 立即前往->
原文鏈接:https://developer.aliyun.com/article/784012?
版權聲明:本文內容由阿里云實名注冊用戶自發貢獻,版權歸原作者所有,阿里云開發者社區不擁有其著作權,亦不承擔相應法律責任。具體規則請查看《阿里云開發者社區用戶服務協議》和《阿里云開發者社區知識產權保護指引》。如果您發現本社區中有涉嫌抄襲的內容,填寫侵權投訴表單進行舉報,一經查實,本社區將立刻刪除涉嫌侵權內容。總結
以上是生活随笔為你收集整理的配置审计(Config)配合开启OSS防盗链功能的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 自建K8S迁移镜像、应用至阿里云ACK最
- 下一篇: 端云互联 3.0 击破云原生开发的痛点