AccessKeyペアは、Alibaba Cloud API操作を呼び出すときにIDを認証するために使用される資格情報です。 AccessKeyペアが漏洩する多数のセキュリティインシデントでは、攻撃者は漏洩したAccessKeyペアを使用して短期間でアカウントを制御し、クラウドワークロードを混乱させます。 攻撃は、大量の延滞支払いとデータリークを引き起こします。 クラウドアセットを保護するために、Alibaba cloudは、リスクのエスカレーションを防ぐためにリークされる可能性のあるAccessKeyペアに対して制限的な保護を提供しています。
AccessKeyペアの制限保護
API、CLI、SDK、Terraformなどの開発ツールを使用してAlibaba Cloudにアクセスしたときに次のエラーメッセージが表示された場合、認証に使用されるAccessKeyペアに制限的な保護が提供されます。
Forbidden : There is a risk of leakage of this AccessKey.AccessKeyペアの制限付き保護の範囲
AccessKeyペアの制限保護は、高リスクAPI操作の呼び出しに使用されるアクセスIPアドレスとアクセス方法に関係なく、一部の高リスクAPI操作に対して有効になります。 リスクの高いAPI操作のリストは変更される場合があります。 詳細については、「AccessKeyペアの制限付き保護下の高リスクAPI操作」をご参照ください。
AccessKeyペアの制限付き保護を無効にする
AccessKeyペアを作成した後、AccessKeyペアを変更することはできません。 AccessKeyペアが漏洩した場合、AccessKeyペアを削除またはローテーションするまで、関連するリスクが発生します。 したがって、AccessKeyペアの制限的な保護は無効にできません。
攻撃者は、リークされたAccessKeyペアを使用して、リスクの高いAPI操作のリストに含まれていないAPI操作を呼び出す可能性があります。 これは、クラウドワークロードにも影響します。 したがって、AccessKeyペアの制限的な保護は一時的な保護手段にすぎません。 漏洩したAccessKeyペアをできるだけ早く削除またはローテーションすることを推奨します。 詳細については、「AccessKeyペアリークの解決策」をご参照ください。
ご質問がある場合は、緊急対応ウィザードページに移動し、[サポートに問い合わせ] をクリックします。
AccessKeyペアの制限付き保護下にある高リスクAPI操作
クラウドサービス | APIバージョン | API 操作 | 説明 |
Resource Access Management (RAM) | 2015-05-01 | All | なし。 |
ID管理サービス (IMS) | 2019-08-15 | All | なし。 |
Elastic Compute Service (ECS) | 2014-05-26 | RunInstances | 1つ以上の従量課金またはサブスクリプションECSインスタンスを作成します。 |
CreateInstance | サブスクリプションまたは従量課金ECSインスタンスを作成します。 | ||
CreateAutoProvisioningGroup | 自動事前設定グループを作成します。 | ||
StartInstance | ECS インスタンスを起動します。 | ||
StartInstances | ECSインスタンスを起動します。 | ||
RunCommand | ECSインスタンスでコマンドを実行します。 | ||
DeleteInstance | ECSインスタンスを削除します。 | ||
DeleteInstances | 一度に複数のECSインスタンスを削除します。 | ||
DeleteSnapshotGroup | スナップショット整合グループを削除します。 | ||
DeleteSnapshot | スナップショットを削除します。 | ||
DeleteImage | カスタムイメージを削除します。 | ||
CreateCommand | Cloud Assistantコマンドを作成します。 | ||
InvokeCommand | 1つ以上のECSインスタンスでCloud Assistantコマンドを実行します。 | ||
Elastic Container Instance | 2018-08-08 | CreateContainerGroup | コンテナーグループを作成します。 |
CreateContainerGroupFromTemplate | テンプレートを使用してコンテナーグループを作成します。 | ||
BatchCreateContainerGroups | 一度に複数のコンテナーグループを作成します。 | ||
DeleteContainerGroup | コンテナーグループを削除します。 | ||
DeleteContainerGroups | 一度に複数のコンテナーグループを削除します。 | ||
Short Message Service (SMS) | 2017-05-25 | AddSmsTemplate | メッセージテンプレートに適用されます。 |
SendSms | メッセージを送信します。 | ||
SendBatchSms | 一度に複数のメッセージを送信します。 | ||
CreateSmsTemplate | メッセージテンプレートに適用されます。 | ||
Elastic Desktop Service | 2020-09-30 | StartDesktops | クラウドコンピュータを起動します。 |
CreateDesktops | クラウドコンピュータを作成します。 | ||
CreateDesktopGroup | クラウドコンピュータプールを作成します。 | ||
ModifyDesktopGroup | クラウドコンピュータプールの設定を変更します。 | ||
RebootDesktops | クラウドコンピュータを再起動します。 | ||
RebuildDesktops | クラウドコンピュータを再作成します。 | ||
GetConnectionTicket | クラウドコンピューターへの接続に使用される資格情報を取得します。 | ||
ModifyDesktopSpec | クラウドコンピューターのインスタンスタイプを変更し、クラウドコンピューターのディスクをスケールアップします。 | ||
RunCommand | クラウドコンピューターでコマンドを実行します。 | ||
性能テストサービス | 2019-08-10 | StartJMeterTesting | Apache JMeterテストを開始します。 |
SaveJMeterScene | テストシナリオをApache JMeterに保存します。 | ||
CreateJMeterScene | Apache JMeterテストシナリオを作成します。 | ||
CreateCronJob | スケジュールされたストレステストタスクを作成します。 | ||
StartSceneTesting | ストレステストのタスクを開始します。 | ||
StartDebugging | デバッグタスクを開始します。 | ||
CreateScene | テストシナリオを作成します。 | ||
SaveScene | テストシナリオを保存します。 | ||
性能テストサービス | 2020-10-20 | SaveOpenJMeterScene | テストシナリオを保存します。 |
StartDebuggingJMeterScene | テストシナリオをデバッグします。 | ||
StartTestingJMeterScene | シナリオのストレステストを開始します。 | ||
SavePtsScene | テストシナリオを保存または変更します。 | ||
CreatePtsScene | テストシナリオを作成します。 | ||
StartDebugPtsScene | テストシナリオのデバッグを開始します。 | ||
StartPtsScene | テストシナリオを開始します。 | ||
ApsaraDB RDS for MySQL | 2014-08-15 | ModifyBackupPolicy | ApsaraDB RDS for MySQLインスタンスのバックアップポリシー設定を変更します。 |
DeleteBackup | ApsaraDB RDS for MySQLインスタンスのデータバックアップファイルを削除します。 | ||
DescribeBackups | ApsaraDB RDS for MySQLインスタンスのデータバックアップファイルを照会します。 | ||
DeleteDBInstance | ApsaraDB RDS for MySQLインスタンスをリリースします。 | ||
DestroyDBInstance | ApsaraDB RDS for MySQLインスタンスを破棄します。 | ||
DeleteDatabase | ApsaraDB RDS for MySQLインスタンスからデータベースを削除します。 | ||
CreateAccount | データベースアカウントを作成します。 | ||
ResetAccountPassword | データベースアカウントのパスワードをリセットします。 | ||
ResetAccount | 特権アカウントの権限をリセットします。 | ||
Database Backup | 2021-01-01 | ModifyBackupStrategy | バックアップスケジュールのバックアップ時刻を変更します。 |
CreateDownload | ダウンロードタスクを作成します。 | ||
DescribeDownloadBackupSetStorageInfo | ダウンロードしたバックアップセットのストレージ情報を照会します。 | ||
Alibaba Cloud DNS (DNS) | 2015-01-09 | DeleteDomain | ドメイン名を削除します。 |
AddDomainRecord | ドメインネームシステム (DNS) レコードを追加します。 | ||
DeleteDomainRecord | DNSレコードを削除します。 | ||
UpdateDomainRecord | DNSレコードを変更します。 | ||
SetDomainRecordStatus | DNSレコードのステータスを指定します。 |