AccessKeyペアは、Alibaba Cloud API操作を呼び出すときにIDを認証するために使用される資格情報です。 AccessKeyペアが漏洩する多数のセキュリティインシデントでは、攻撃者は漏洩したAccessKeyペアを使用して短期間でアカウントを制御し、クラウドワークロードを混乱させます。 攻撃は、大量の延滞支払いとデータリークを引き起こします。 クラウドアセットを保護するために、Alibaba cloudは、リスクのエスカレーションを防ぐためにリークされる可能性のあるAccessKeyペアに対して制限的な保護を提供しています。
AccessKeyペアの制限保護
API、CLI、SDK、Terraformなどの開発ツールを使用してAlibaba Cloudにアクセスしたときに次のエラーメッセージが表示された場合、認証に使用されるAccessKeyペアに制限的な保護が提供されます。
Forbidden : There is a risk of leakage of this AccessKey.AccessKeyペアの制限付き保護の範囲
AccessKeyペアの制限保護は、高リスクAPI操作の呼び出しに使用されるアクセスIPアドレスとアクセス方法に関係なく、一部の高リスクAPI操作に対して有効になります。 リスクの高いAPI操作のリストは変更される場合があります。 詳細については、「AccessKeyペアの制限付き保護下の高リスクAPI操作」をご参照ください。
AccessKeyペアの制限付き保護を無効にする
AccessKeyペアを作成した後、AccessKeyペアを変更することはできません。 AccessKeyペアが漏洩した場合、AccessKeyペアを削除またはローテーションするまで、関連するリスクが発生します。 したがって、AccessKeyペアの制限的な保護は無効にできません。
攻撃者は、リークされたAccessKeyペアを使用して、リスクの高いAPI操作のリストに含まれていないAPI操作を呼び出す可能性があります。 これは、クラウドワークロードにも影響します。 したがって、AccessKeyペアの制限的な保護は一時的な保護手段にすぎません。 漏洩したAccessKeyペアをできるだけ早く削除またはローテーションすることを推奨します。 詳細については、「AccessKeyペアリークの解決策」をご参照ください。
ご質問がある場合は、緊急対応ウィザードページに移動し、[サポートに問い合わせ] をクリックします。
AccessKeyペアの制限付き保護下にある高リスクAPI操作
クラウドサービス | API 操作 | 説明 |
Resource Access Management (RAM) | All | なし。 |
ID管理サービス (IMS) | All | なし。 |
Elastic Compute Service (ECS) | RunInstances | 1つ以上の従量課金またはサブスクリプションECSインスタンスを作成します。 |
CreateInstance | サブスクリプションまたは従量課金ECSインスタンスを作成します。 | |
CreateAutoProvisioningGroup | 自動事前設定グループを作成します。 | |
StartInstance | ECS インスタンスを起動します。 | |
StartInstances | ECSインスタンスを起動します。 | |
RunCommand | ECSインスタンスでコマンドを実行します。 | |
DeleteInstance | ECSインスタンスを削除します。 | |
DeleteInstances | 一度に複数のECSインスタンスを削除します。 | |
DeleteSnapshotGroup | スナップショット整合グループを削除します。 | |
DeleteSnapshot | スナップショットを削除します。 | |
DeleteImage | カスタムイメージを削除します。 | |
Elastic Container Instance | CreateContainerGroup | コンテナーグループを作成します。 |
CreateContainerGroupFromTemplate | テンプレートを使用してコンテナーグループを作成します。 | |
BatchCreateContainerGroups | 一度に複数のコンテナーグループを作成します。 | |
DeleteContainerGroup | コンテナーグループを削除します。 | |
ContainerGroupsの削除 | 一度に複数のコンテナーグループを削除します。 | |
Short Message Service (SMS) | AddSmsTemplate | メッセージテンプレートに適用されます。 |
SendSms | メッセージを送信します。 | |
SendBatchSms | 一度に複数のメッセージを送信します。 | |
CreateSmsTemplate | メッセージテンプレートに適用されます。 | |
Elastic Desktop Service (2020-09-30) | スタートデスクトップ | クラウドコンピュータを起動します。 |
CreateDesktops | クラウドコンピュータを作成します。 | |
CreateDesktopGroup | クラウドコンピュータプールを作成します。 | |
ModifyDesktopGroup | クラウドコンピュータプールの設定を変更します。 | |
RebootDesktops | クラウドコンピュータを再起動します。 | |
RebuildDesktops | クラウドコンピュータを再作成します。 | |
GetConnectionTicket | クラウドコンピューターへの接続に使用される資格情報を取得します。 | |
ModifyDesktopSpec | クラウドコンピューターのインスタンスタイプを変更し、クラウドコンピューターのディスクをスケールアップします。 | |
RunCommand | クラウドコンピューターでコマンドを実行します。 | |
性能テストサービス (2019-08-10) | StartJMeterTesting | Apache JMeterテストを開始します。 |
SaveJMeterScene | テストシナリオをApache JMeterに保存します。 | |
CreateJMeterScene | Apache JMeterテストシナリオを作成します。 | |
CreateCronJob | スケジュールされたストレステストタスクを作成します。 | |
StartSceneTesting | ストレステストのタスクを開始します。 | |
デバッグ開始 | デバッグタスクを開始します。 | |
CreateScene | テストシナリオを作成します。 | |
SaveScene | テストシナリオを保存します。 | |
性能テストサービス (2020-10-20) | SaveOpenJMeterScene | テストシナリオを保存します。 |
StartDebuggingJMeterScene | テストシナリオをデバッグします。 | |
StartTestingJMeterScene | シナリオのストレステストを開始します。 | |
SavePtsScene | テストシナリオを保存または変更します。 | |
CreatePtsScene | テストシナリオを作成します。 | |
StartDebugPtsScene | テストシナリオのデバッグを開始します。 | |
StartPtsScene | テストシナリオを開始します。 | |
ApsaraDB RDS (2014-08-15) | ModifyBackupPolicy | ApsaraDB RDSインスタンスのバックアップポリシー設定を変更します。 |
DeleteBackup | ApsaraDB RDSインスタンスのデータバックアップファイルを削除します。 | |
DescribeBackups | ApsaraDB RDSインスタンスのデータバックアップファイルを照会します。 | |
DeleteDBInstance | ApsaraDB RDSインスタンスをリリースします。 | |
DestroyDBInstance | ApsaraDB RDSインスタンスを破棄します。 | |
DeleteDatabase | ApsaraDB RDSインスタンスからデータベースを削除します。 | |
CreateAccount | データベースアカウントを作成します。 | |
ResetAccountPassword | データベースアカウントのパスワードをリセットします。 | |
ResetAccount | 特権アカウントの権限をリセットします。 | |
データベースのバックアップ (2021-01-01) | ModifyBackupStrategy | バックアップスケジュールのバックアップ時刻を変更します。 |
CreateDownload | ダウンロードタスクを作成します。 | |
DescribeDownloadBackupSetStorageInfo | ダウンロードしたバックアップセットのストレージ情報を照会します。 |