您可使用自定义 SCF 函数,配置 COS 存储桶加密巡检。配置成功后,您的存储桶可实现审计和治理。了解更多请参见 配置审计。
下载 Inspecting-cos-bucket-encryption.zip 压缩包。
1. 登录 云函数控制台,在左侧导航栏中单击函数服务,进入函数列表页。
2. 创建云函数。单击新建,创建云函数。需要配置以下选项:
选择模板:模板类型选择从头开始。
基础配置:
函数类型:选择事件函数。
函数名称:可使用默认函数名称,或自定义函数名称。
地域:选择存储桶所在地域。以下将以广州为例,进行说明。
运行环境:选择 Go 1。
时区:使用默认的设置 UTC。
函数代码:
提交方法:选择本地上传 zip 包 ,上传准备工作中下载的 zip 包。
执行方法:使用默认的设置 main。
日志配置:无需设置。
高级配置:单击高级配置选项,并展开配置详情。在权限配置中,单击启用运行角色。
3. 同意授权,并提交。
4. 单击新建运行角色。
1. 登录 访问管理控制台,单击角色 > 新建角色 > 腾讯云产品服务。在新建自定义角色页面中,产品服务搜索并选择云函数(scf),单击下一步。
2. 在策略列表中搜索 QcloudCOSBucketConfigRead 策略和 QcloudConfigFullAccess 策略并勾选。完成后单击下一步。
3. 可根据实际情况选择是否配置角色标签。此步骤非必要。完成后,单击下一步。
4. 在审阅页面,设置角色名称,单击完成。至此,已完成新建自定义角色的全部操作。
5. 返回云函数创建页面。在权限配置的运行角色里,刷新运行角色。随后,选择之前新建的角色。
6. 勾选服务协议。完成以上配置后,勾选协议。单击完成,云函数的创建成功。
1. 在 配置审计 控制台,单击规则页面。选择新建规则 > 新建自定义规则,进入规则配置页面。
2. 在自定义规则配置中的基本属性页面,配置基本信息,选择刚刚部署好的云函数,并单击下一步。
3. 在关联资源页面,按资源类型选择 COS 对象存储。
按标签。如果需要巡检指定标签的存储桶,可以在对象存储 COS 控制台 存储桶列表页,对需要巡检的存储桶设置标签 。
进入存储桶列表页。
设置存储桶的标签。
选择对应的标签,完成操作。
按地域。如果需要巡检指定地域的桶可配置此字段。例如:需要巡检广州地域的存储桶,可以在按地域下拉菜单中选择广州。
4. 在完成上一步骤配置后,单击下一步,进入触发机制:
规则触发机制:选择周期执行。
规则触发条件:根据实际情况选择,最小可选择1 小时。
5. 参数设置:无需配置,跳过。
6. 预览并保存:无需配置,直接单击确认。至此,已完成了自定义规则的新建。
1. 在 配置审计 控制台,单击设置 > 投递服务。开启后,配置巡检的结果将投递至 CLS。
注意:
如果您还未开启配置审计服务,请根据提示开通即可。
目前巡检结果仅支持每天凌晨零点15分定时投递。
2. 详细配置如下:
选择投递类型:选择日志服务 CLS。
投递服务名称:自定义即可。
投递内容:选择配置变更历史。
日志主题:选择使用已有或新建均可。下文将以使用已有为例进行说明。
地域:选择日志主题所在的地域。
日志主题名称:按需配置日志主题的名称。
至此,您已完成全部配置。
3. 在 配置审计 控制台,单击规则,可查看实践结果如下。
