データ検出と対応機能は、アクセスキーペアの漏洩を処理するための 2 つの対策を提供します。アクセスキーペア管理とバケットガバナンスです。このようにして、IP アドレスと機密レベルに基づいてオブジェクトとバケットへのアクセスを制御できます。これは、データ漏洩や攻撃を防ぎ、データセキュリティを確保するのに役立ちます。たとえば、影響を受けるアクセスキーペアを無効にして不正アクセスを防いだり、影響を受けるオブジェクトに対してより厳格なアクセス制御ポリシーを作成したりできます。このトピックでは、漏洩した、または漏洩の可能性のあるアクセスキーペアの処理方法について説明します。このトピックでは、バケットおよびバケット内のオブジェクトへのアクセスの制御方法についても説明します。
前提条件
漏洩したアクセスキーペアと、漏洩したアクセスキーペアを使用してアクセスされたバケットオブジェクトに関する情報は、クエリされます。詳細については、「漏洩したアクセスキーペアと異常なアクセスアラートの表示」をご参照ください。
背景情報
アクセスキーペア漏洩検出と異常アクセスアラートの動作原理と制限の詳細については、「概要」をご参照ください。
ソリューションの説明
ソリューション | 処理方法 | シナリオ | 説明 |
アクセスキーペア漏洩の処理 | ホワイトリストにアクセスキーペアを追加する |
| Data Security Center (DSC) コンソールで、アクセスキーペアをホワイトリストに追加できます。 アクセスキーペアのアラート通知を設定した場合、アクセスキーペアがホワイトリストに追加された後は、DSC はアラート通知を送信しません。アラートを表示するには、DSC コンソールにログインし、 を選択します。詳細については、「漏洩したアクセスキーペアと異常なアクセスアラートの表示」をご参照ください。 |
アクセスキーペアを無効にする |
| Resource Access Management (RAM) コンソールのアクセスキーペア管理ページで、アクセスキーペアを無効にすることができます。 | |
アクセスキーペアを削除する |
| アクセスキーペアを削除するには、RAM コンソールにログインするか、アクセスキーペアの所有者に通知します。 | |
RAM ユーザーのアクセスキーペアをローテーションする | Key Management Service (KMS) コンソールにログインし、RAM ユーザーのアクセスキーペアの自動ローテーションを設定することで、アクセスキーペア漏洩のリスクを軽減します。詳細については、RAM シークレットの管理と使用を参照してください。 | KMS をアクティブ化し、KMS でアクセスキーペアの自動ローテーションを設定した後に RAM ユーザーのアクセスキーペアが漏洩した場合、DSC コンソールにログインして[クイックローテーション]ローテーション期間は 10 分です。 | |
バケット権限ガバナンス (ブロック) | バケットのアクセス制御リスト (ACL) を設定する | Bucket ACL パラメーターを パブリック読み取り、パブリック読み取り/書き込み、または プライベート に設定できます。このパラメーターは、ユーザーまたはユーザーグループがバケットにアクセスできるかどうか、およびユーザーまたはユーザーグループがバケットで実行できる操作を指定します。操作には、読み取りと書き込みが含まれます。 バケットに対して粗粒度のアクセス制御を実行できます。たとえば、バケット内のオブジェクトへのアクセスを特定のユーザーに制限できます。 | DSCコンソールにログオンし、バケットのBucket ACLパラメーターを [プライベート] に設定することで、バケット所有者だけがバケットにアクセスできるようにすることができます。 |
特定の IP アドレスがバケットにアクセスできるようにする | 特定の IP アドレスまたは特定の CIDR ブロックからの IP アドレスがバケットにアクセスできるようにすることができます。追加のアクセス制限により、セキュリティが向上します。 例:
| DSC は、特定の IP アドレスからのアクセスを制限するためのポリシーテンプレートを提供します。このポリシーテンプレートを使用して、漏洩したアクセスキーペアが最も多くのリクエストを開始するために使用される CIDR ブロックからの特定のバケットへのアクセスを拒否できます。
| |
承認されたユーザーのみが機密オブジェクトにアクセスできるようにする | バケットに機密オブジェクトが含まれている場合は、追加のアクセス制御を実行して、承認されたユーザーのみがオブジェクトにアクセスできるようにすることができます。 例:
| DSC は、機密オブジェクトへのアクセスを制限するためのポリシーテンプレートを提供します。このテンプレートを使用して、漏洩したアクセスキーペアの所有者アカウントから、バケット内の特定の機密レベルのオブジェクトへのアクセスを拒否できます。
| |
バケットオブジェクトガバナンス | オブジェクトを削除する |
| DSC コンソールでオブジェクトを削除できます。 |
ハンドラの説明
Alibaba Cloud アカウントとしてデータ検出と対応機能を有効にする場合:
デフォルトでは、Alibaba Cloud アカウントは、Alibaba Cloud アカウント内および Alibaba Cloud アカウントの RAM ユーザー内で発生するアクセスキーペア漏洩を処理し、関連するバケットガバナンスを実行するための完全な権限を持っています。
複数アカウント管理が有効になっていて、メンバー内でアクセスキーペアの漏洩が発生した場合は、メンバーの所有者に連絡して漏洩を処理し、関連するバケットガバナンスを実行してください。
AliyunYundunSDDPFullAccess ポリシーがアタッチされている RAM ユーザーとしてデータ検出と対応機能を有効にする場合:
RAM ユーザーは、RAM ユーザー内で発生するアクセスキーペア漏洩を処理し、関連するバケットガバナンスを実行するための完全な権限を持っています。
他の RAM ユーザー内でアクセスキーペアの漏洩が発生した場合、RAM ユーザーはアクセスキーペアをホワイトリストに追加することしかできません。他の処理オプションについては、RAM ユーザーは次の操作を実行できます。
アクセスキーペアの漏洩を処理するために、Alibaba Cloud アカウントの管理者に連絡します。
必要な権限を付与するために、Alibaba Cloud アカウントの管理者に連絡します。
たとえば、RAM ユーザーがアクセスキーペアを無効にする場合、ListAccessKeys ポリシーと UpdateAccessKey ポリシーを RAM ユーザーにアタッチする必要があります。RAM ユーザーがアクセスキーペアのクイックローテーションを有効にする場合、AliyunKMSSecretAdminAccess ポリシーを RAM ユーザーにアタッチする必要があります。RAM ユーザーがバケットへのアクセス許可を付与するポリシーを作成し、そのポリシーを特定の RAM ユーザーにアタッチする場合、CreatePolicy ポリシーと AttachPolicyToUser ポリシーを RAM ユーザーにアタッチする必要があります。
RAM ポリシーの詳細については、「RAM 認証」をご参照ください。
アクセスキーペアの漏洩を処理し、関連するバケットガバナンスを実行するために、Alibaba Cloud アカウントの所有者に連絡します。
アクセスキーペア漏洩の処理
DSC コンソール にログインします。
左側のナビゲーションペインで、 を選択します。
[OSS データ漏洩 (アクセスキーペアシナリオ)] ページで、[アクセスキーペア漏洩] セクションの数字をクリックして、漏洩したアクセスキーペアに関する情報を表示します。
管理する AccessKey ペアを見つけ、[アクション] 列の [accesskey ペアの管理] をクリックします。[AccessKey ペアの管理] パネルで、処理方法を選択します。
[OSS データ漏洩 (アクセスキーペアシナリオ)] ページの下部にあるアラートリストから管理するアクセスキーペアを見つけて、[アクション] 列の [詳細] をクリックすることもできます。[アラートの詳細] ページで、[アクセスキーペアの状態] の横にある [アクセスキーペアの管理] をクリックして、[アクセスキーペアの管理] パネルに移動します。
ホワイトリストにアクセスキーペアを追加する
[ホワイトリストに追加] をクリックします。表示されるメッセージで、[OK] をクリックします。
アクセスキーペアのアラート通知を設定した場合、アクセスキーペアがホワイトリストに追加された後は、DSC はアラート通知を送信しません。
アクセスキーペアを無効にする
[無効にする] をクリックします。RAM コンソールの [アクセスキーペア] ページにリダイレクトされます。ページで、アクセスキーペアを無効にします。詳細については、「RAM ユーザーのアクセスキーペアを無効にする」をご参照ください。
アクセスキーペアを無効にする権限がない場合、必要な権限を取得するように求められます。アクセスキーペアの所有者に連絡してアクセスキーペアを無効にすることもできます。
アクセスキーペアをローテーションする
[ローテーション] をクリックします。DSC は、KMS で RAM シークレットに設定したローテーションポリシーを確認し、[即時ローテーション] を実行します。ローテーション期間は 10 分です。
KMS をアクティブ化していない場合、KMS に接続して定期的なアクセスキーペアローテーションを設定するように求められます。
詳細については、「RAM シークレットの管理と使用」をご参照ください。
他の RAM ユーザーのアクセスキーペアをローテーションする権限がない場合は、アクセスキーペアの所有者に連絡してアクセスキーペアをローテーションしてもらうことができます。
アクセスキーペアの処理ステータスをマークする
RAM コンソールでアクセスキーペアを無効にしたり削除したりした場合、操作結果は DSC コンソールに自動的に同期されません。DSC コンソールでアクセスキーペアの処理ステータスを手動でマークする必要があります。
ステータスマーキング操作では、実際の操作はトリガーされません。ステータスをマークする前に、関連する処理操作が完了していることを確認してください。
DSC コンソール にログインします。
左側のナビゲーションペインで、 を選択します。
[OSS データ漏洩 (アクセスキーペアシナリオ)] ページで、アラートリストで管理するアクセスキーペアを見つけて、[アクセスキーペアの状態] 列のドロップダウンリストから状態を選択して、アクセスキーペアの処理ステータスをマークします。
バケットへのアクセスを制限する
DSC コンソール にログインします。
左側のナビゲーションペインで、 を選択します。
[OSS データ漏洩 (アクセスキーペアシナリオ)] ページの下部にあるアラートリストで管理するバケットを見つけて、[アクション] 列の [詳細] をクリックします。
バケットの [詳細] セクションで、[バケットガバナンスの進捗状況] の横にある [管理] をクリックします。
[管理] パネルで、バケット内のオブジェクトへのアクセスを制限します。
バケット ACL
[バケット ACL] の横にある [設定] をクリックし、[バケット ACL] を [プライベート] に設定します。
プライベート は、バケット所有者のみがバケット内のオブジェクトに対する読み取りおよび書き込み操作を実行できることを指定します。他のユーザーは、バケット内のオブジェクトにアクセスできません。この場合、バケット ACL に 処理済み と表示されます。
[バケット ACL] を [パブリック読み取り] または [パブリック読み取り/書き込み] に設定すると、[バケット ACL] には [未処理] と表示されます。
IP アドレスからのアクセスを制限する
[ブロックされた IP アドレス] セクションで、カスタムポリシーを設定し、アクセスキーペアの所有者アカウントにアタッチします。
[コピー] をクリックして、ポリシーテンプレートを取得します。
{ "Version": "1", "Statement": [ { "Effect": "Deny", // ポリシーの効果 "Action": [ "oss:*" ], "Resource": [ "acs:oss:*:*:sddp-acl-xxxx-read-1/*" ], "Condition": { "IpAddress": { "acs:SourceIp": [ "2xx.xxx.xxx.xxx" ] } } } ] }[設定] をクリックします。RAM コンソールの ページにリダイレクトされます。ページで、[JSON] をクリックします。
このタブのポリシードキュメントをテンプレートのポリシードキュメントに置き換えます。ビジネス要件に基づいてポリシードキュメントを変更できます。次の表は、ポリシーについて説明しています。詳細については、「RAM ポリシー」をご参照ください。
パラメータ
説明
Effect
ポリシーの効果。値は、特定の IP アドレスからのアクセスを拒否するために Deny に固定されています。
Action
バケットで実行される操作。
Resource
ポリシーが対象とするオブジェクト。デフォルトでは、値はバケットの名前です。
Condition
IpAddressは、条件のタイプが IP アドレスであることを指定し、acs:SourceIpは、ポリシーが有効になる IP アドレスを指定します。バケットに最も頻繁にアクセスする IP アドレスが、acs:SourceIp の値として自動的に指定されます。テンプレートは、指定された IP アドレスが
sddp-acl-unittest-public-read-1バケット内のすべてのオブジェクトにアクセスできないことを示しています。[次へ: ポリシー情報を編集] をクリックし、ポリシーの [名前] と [説明] を設定して、[OK] をクリックします。
アクセスキーペアの所有者アカウントにポリシーをアタッチします。詳細については、「RAM ユーザーへの権限の付与」をご参照ください。
[管理] パネルに戻り、
[ブロックされた IP アドレス] の横にある 処理済み アイコンをクリックし、ドロップダウンリストから を選択します。RAM コンソールの操作結果は DSC コンソールに自動的に同期されません。認証が完了したら、DSC コンソールで処理ステータスを手動で更新する必要があります。
機密オブジェクトへのアクセスを制限する
[アクセスできない機密ファイル] セクションで、IP アドレスからのアクセスを制限するために行った前述の操作を繰り返します。次に、[管理] パネルに戻り、[アクセスできない機密ファイル] の横にあるドロップダウンリストから状態を選択します。
{
"Version": "1",
"Statement": [
{
"Effect": "Deny", // ポリシーの効果
"Action": [
"oss:*"
],
"Resource": [
"acs:oss:*:*:sddp-acl-xxxx-read-1/*"
],
"Condition": {
"StringEquals": {
"oss:ExistingObjectTag/SensitiveLevelTagForSDDP": [
"4" // 機密レベル
]
}
}
}
]
}ビジネス要件に基づいてポリシードキュメントを変更できます。次の表は、ポリシーについて説明しています。詳細については、「RAM ポリシー」をご参照ください。
パラメータ | 説明 |
Effect | ポリシーの効果。値は、特定の機密オブジェクトへのアクセスを拒否するために Deny に固定されています。 |
Action | バケットで実行される操作。 |
Resource | ポリシーが対象とするオブジェクト。デフォルトでは、値はバケットの名前です。 |
Condition |
値 4 は機密レベル S4 を示します。テンプレートは、アクセスキーペアの所有者アカウントが 値と機密レベルのマッピング:1 は S1 機密レベル、2 は S2 機密レベル、3 は S3 機密レベル、4 は S4 機密レベルです。前述のマッピングパターンは、他の値と機密レベルにも適用されます。 重要
|
参照
アクセスキーペアは、Alibaba Cloud API オペレーションを呼び出すときに ID を認証するために使用されます。アクセスキーペアが漏洩すると、アカウント内のすべてのリソースが危険にさらされたり、予期しない料金が発生したり、身代金目的の攻撃が発生したりする可能性があります。深刻なケースでは、アクセスキーペアの漏洩が Alibaba Cloud または他のユーザーに損害を与える可能性もあります。アクセスキーペア漏洩の処理方法の詳細については、「アクセスキーペア漏洩のソリューション」と「認証情報セキュリティソリューション」をご参照ください。
デフォルトでは、バケットとオブジェクトを含む OSS リソースのバケット ACL パラメータはプライベートに設定されています。この場合、リソース所有者または承認されたユーザーのみがリソースにアクセスできます。サードパーティユーザーに対してきめ細かいアクセス制御を実行する場合は、異なるポリシーを作成して異なるユーザーにアタッチし、OSS リソースへの権限をユーザーに付与できます。
OSS は、バケット内のオブジェクトへのアクセスを制御するための 4 つのタイプのポリシーをサポートしています。詳細については、「RAM ポリシー」、「バケットポリシー」、「バケット ACL」、および「オブジェクト ACL」をご参照ください。