Alibaba CloudアカウントとRAMユーザーのAccessKeyペアが漏洩した場合、クラウドリソースとビジネスに潜在的なセキュリティが発生する可能性があります。 このトピックでは、AccessKeyペアとその解決策を使用する際のよくある間違いについて説明します。
よくある間違いを避ける
コードでAccessKeyペアをハードコーディングします。 この場合、コードリポジトリの読み取り権限を持つ開発者は、AccessKey情報を取得できます。 開発者によっては、このようなコードをオープンソースコミュニティやコードホスティングサービスにアップロードすることもあります。これにより、さらに大きなセキュリティリスクが発生する可能性があります。
クライアントがAPI操作を直接呼び出すことができるように、クライアントコードにAccessKeyペアを書き込む攻撃者は、クライアントコードを逆コンパイルすることでAccessKey情報を取得できます。
AccessKeyペアを他のユーザーと共有する技術ドキュメントまたは資料に公開します。
製品ドキュメントのサンプルコードにAccessKeyペアを含めます。
Alibaba Cloud Credentialsを使用して、AccessKeyペアのセキュリティを確保できます。
Alibaba Cloud Credentials
Alibaba Cloud Credentialsは、Alibaba Cloudが開発者向けに提供するID認証管理ツールです。 Credentialsのデフォルトの資格情報プロバイダーチェーンを設定した後、Alibaba Cloud API操作を呼び出すときに、コード内でプレーンテキストのAccessKeyペアをハードコードする必要はありません。 これにより、アカウントのクラウドリソースのセキュリティが効果的に保証されます。
AccessKeyペアの読み取りには、次の3つの方法があります。
環境変数を使用してAccessKeyペアを読み取ります。
システム設定ファイルを使用してAccessKeyペアを読み取ります。
コードでタイプを
ecs_ram_role
として指定して、RAMロールの一時トークンを読み取ります。
複数のプログラミング言語用のCredentials SDKをパッケージ化しました。 使用する言語に基づいて、次のドキュメントを表示できます。
クラウドセキュリティのベストプラクティス
詳細については、以下のトピックをご参照ください。