すべてのプロダクト
Search

このプロダクト

    Resource Access Management:AccessKeyペアリークの解決策

    ドキュメントセンター

    Resource Access Management:AccessKeyペアリークの解決策

    最終更新日:Oct 31, 2024

    AccessKeyペアは、Alibaba Cloud API操作を呼び出すときにIDを認証するために使用される資格情報です。 AccessKeyペアが漏洩すると、アカウントに属するすべてのリソースが潜在的なセキュリティリスクにさらされ、予期しない料金が発生し、恐喝が発生する可能性があります。 重大なケースでは、AccessKeyペアのリークがAlibaba Cloudや他のユーザーを危険にさらす可能性さえあります。 このトピックでは、AccessKeyペアのリークを処理してID盗難のリスクを防ぐ方法について説明します。

    Alibaba Cloudの対応策

    Alibaba Cloudは、クラウドサービスのセキュリティ向上に取り組んでおり、アカウントと資産のセキュリティ保護をサポートしています。 AccessKeyペアが漏洩したことをAlibaba Cloudが検出した場合、Alibaba Cloudは提供した連絡先情報を使用してすぐに通知します。 ワークロードとデータを保護するために、Alibaba Cloudは侵害されたAccessKeyペアを制限的に保護します。 このように、侵害されたAccessKeyペアを使用して、特定のクラウドサービスの高リスクAPI操作を呼び出すことはできません。 詳細については、「Restrictive protection for AccessKey pairs」をご参照ください。

    警告

    Alibaba Cloudから送信されたテキストメッセージ、電子メール、および内部メッセージを定期的にチェックし、できるだけ早い機会にビジネス要件に基づいてAccessKeyペアのリークを処理する必要があります。 また、ワークロードへの影響を防ぐために、アカウントのクラウドリソースの異常な変更にも注意する必要があります。

    説明

    Alibaba Cloudは、すべてのAccessKeyペアのセキュリティステータスを確認できません。 セキュリティ責任共有モデルは、クラウドセキュリティがお客様とAlibaba cloudの間で共有される責任であることを規定しています。 AccessKeyペアは、アカウントに属するID資格情報です。 AccessKeyペアのセキュリティは、お客様が担当します。

    Alibaba CloudアカウントのAccessKeyペアリークの処理

    • AccessKeyペアが使用されていない場合は、AccessKeyペアページでAccessKeyペアを無効にして削除します。

    • AccessKeyペアが使用中の場合は、AccessKeyペアページで回転します。

      AccessKeyペアを作成し、AccessKeyシークレットを秘密にしておくことができます。 次に、元のAccessKeyペアを新しいペアに置き換え、置き換えを確認し、元のペアを無効にして削除できます。

    RAMユーザーのAccessKeyペアリークの処理

    • AccessKeyペアが使用されていない場合は、Resource Access Management (RAM) コンソールでAccessKeyペアを無効化および削除します。 詳細については、「RAMユーザーのAccessKeyペアの無効化」および「RAMユーザーのAccessKeyペアの削除」をご参照ください。

    • AccessKeyペアが使用中で回転可能な場合は、できるだけ早い機会に回転させます。

      AccessKeyペアを作成し、AccessKeyシークレットを秘密にしておくことができます。 次に、元のAccessKeyペアを新しいペアに置き換え、置き換えを確認し、元のペアを無効にして削除できます。 詳細については、「RAMユーザーのAccessKeyペアの回転」をご参照ください。

    • AccessKeyペアが使用中であっても回転できない場合は、盗難の影響を軽減するために、次の図に示す手順に従います。 手順を完了したら、できるだけ早い機会にAccessKeyペアをローテーションします。

      image

      手順1: AccessKeyペアから権限を取り消す

      経済的損失とワークロードへの影響を最小限に抑えるために、リークされたAccessKeyペアからリスクの高い権限を早期に取り消すポリシーを作成できます。 取り消しがワークロードに影響しないことを確認してください。 AccessKeyペアを無効にして削除する前に、ポリシーをデタッチしないでください。

      リスクの高い権限には、RAMコンソールで別のRAMユーザーを作成してRAMユーザーに権限を付与する権限、Elastic Compute Service (ECS) 、ApsaraDB RDS、Object Storage Service (OSS) 、Simple Log Serviceのリソースを解放する権限、およびテキストメッセージを送信する権限が含まれます。

      次のサンプルコードは、高リスクのアクセス許可を取り消すために使用されるカスタムポリシーの例を示しています。 影響を完全に評価した後、ビジネス要件に基づいてポリシーを設定することをお勧めします。 

      {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "ram:AddUserToGroup",
        "ram:AttachPolicyToGroup",
        "ram:AttachPolicyToRole",
        "ram:AttachPolicyToUser",
        "ram:ChangePassword",
        "ram:CreateAccessKey",
        "ram:CreateLoginProfile",
        "ram:CreatePolicyVersion",
        "ram:CreateRole",
        "ram:CreateUser",
        "ram:DetachPolicyFromUser",
        "ram:PassRole",
        "ram:SetDefaultPolicyVersion",
        "ram:UpdateAccessKey",
        "ram:SetPasswordPolicy",
        "ram:UpdateRole",
        "ram:UpdateLoginProfile",
        "ram:UpdateUser"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Deny",
      "Action": [
        "ecs:DeleteInstance",
        "ecs:DeleteInstances",
        "ecs:DeregisterManagedInstance",
        "ecs:ReleaseDedicatedHost"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Deny",
      "Action": [
        "rds:DeleteAccount",
        "rds:DeleteDatabase",
        "rds:DeleteDBInstance",
        "rds:DestroyDBInstance"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Deny",
      "Action": [
        "oss:DeleteBucket",
        "oss:DeleteObject",
        "oss:PutBucketAcl",
        "oss:PutBucketPolicy"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Deny",
      "Action": [
        "log:DeleteLogStore",
        "log:DeleteProject",
        "log:PutProjectPolicy",
        "log:DeleteProjectPolicy"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Deny",
      "Action": [
        "dysms:CreateProductNew",
        "dysms:CreateSmsTemplateNew",
        "dysms:AddSmsTemplate",
        "dysms:SendSms",
        "dysms:SendBatchSms"
      ],
      "Resource": "*"
    }
  ]
}

      詳細については、「カスタムポリシーの作成」および「RAM ユーザーへの権限の付与」をご参照ください。

      AccessKeyペアで必要とされないすべての権限を削除することを推奨します。

      手順2: RAMユーザーのMFAの有効化

      ベストプラクティスに基づいて、Alibaba Cloudアカウントのコンソールアクセスが有効になっているすべてのRAMユーザーに対して、多要素認証 (MFA) を有効にすることを推奨します。

      1. Alibaba Cloudアカウントのコンソールアクセスが有効になっているすべてのRAMユーザーに対してMFAを有効にします。

        詳細については、「RAMユーザーのコンソールログイン設定の管理」をご参照ください。

      2. MFAデバイスをRAMユーザーにバインドします。

        詳細については、「MFAデバイスをRAMユーザーにバインドする」をご参照ください。

      手順3: AccessKeyペアを使用した疑わしい操作の確認

      AccessKeyペアが疑わしい操作の実行に使用されているかどうか、および他のIDが漏洩しているかどうかを確認します。 疑わしいアクセスIPアドレスと、ワークロードで必要とされないリソースの作成または削除に注意してください。

      方法: RAMコンソールで、RAMユーザーのAccessKeyペアリストに移動し、リスト内の操作レコードを表示します。 または、ActionTrailコンソールAccessKeyペア監査ページでAccessKey IDを入力して、操作レコードを照会します。

      説明

      OSSおよびSimple Log Serviceの操作ログがActionTrailに追加されていない場合、各サービスのログ機能を使用して操作ログを照会する必要があります。

      漏洩したAccessKeyペアを除いて、他のRAMユーザーとAccessKeyペアが疑わしい操作に使用されているかどうかを確認する必要があります。 疑わしい操作を特定した場合は、その操作がRAMユーザーまたはAccessKeyペアの所有者によって実行されているかどうかを確認します。 AccessKeyペアのリークが発生した場合は、ビジネス要件に基づいて次のいずれかの方法を使用できます。

      • RAMユーザーを引き続き使用する場合は、すぐにRAMユーザーのパスワードを変更し、MFAを有効にすることを推奨します。

      • RAMユーザーが誤って作成された場合、または不要になった場合は、RAMユーザーを削除できます。 RAMユーザーを削除すると、RAMユーザーはごみ箱に移動されます。 RAMユーザーを削除した後、ワークロードが影響を受けるかどうかを確認します。 ワークロードに影響がある場合は、RAMユーザーを復元できます。

      • AccessKeyペアを使用して疑わしい操作が実行される場合は、上記の方法を実行して権限を取り消し、AccessKeyペアをローテーションします。

      ステップ4: 予期しない料金を確認する

      費用と費用コンソールで、予期しない料金が発生しているかどうかを確認します。 さらに、前のステップの結果に基づいて予防策を講じてください。

    AccessKeyペアリークの長期ソリューション

    詳細については、「アクセス資格情報を使用してAPI操作を呼び出すためのベストプラクティス」をご参照ください。