Alibaba Cloud は、AccessKey ペアが公に漏洩したことを検出した場合、自動的に制限的保護ポリシーを適用します。このポリシーは、高リスクの API 操作をブロックすることで AccessKey ペアの権限を制限し、アカウントの乗っ取り、データ漏洩、不正な課金のリスクを軽減します。
制限的保護の特定
API 呼び出しを行う際に以下のエラーメッセージが表示された場合、使用している AccessKey ペアが制限的保護下にあることを意味します。
Forbidden : There is a risk of leakage of this AccessKey.制限的保護の範囲
この保護は、漏洩した AccessKey ペアに対して、特定の高リスク API 操作のセットをブロックします。この制限は、ソース IP アドレスに関わらず、その AccessKey ペアで行われるすべての呼び出しに適用されます。ブロックされる API 操作のリストは変更されることがあります。詳細については、本トピックの「ブロックされる高リスク API 操作」セクションをご参照ください。
制限的保護の解除
制限的保護を直接無効にすることはできません。漏洩した AccessKey ペアは継続的なセキュリティリスクをもたらすため、この保護を解除する唯一の方法は、AccessKey ペアを削除またはローテーションすることです。
この保護は一時的な安全策にすぎません。攻撃者は、漏洩した AccessKey ペアを使用して、高リスクリストにない API 操作を呼び出すことができる可能性があります。アカウントを完全に保護するためには、漏洩した AccessKey ペアを直ちに削除またはローテーションする必要があります。詳細については、「漏洩の可能性がある AccessKey ペアへの対処」をご参照ください。
サポートが必要な場合、またはこの保護が誤って適用されたと思われる場合は、緊急対応ウィザードページに移動し、[サポートへのお問い合わせ] をクリックしてください。
ブロックされる高リスク API 操作
クラウドサービス | API バージョン | API 操作 | 説明 |
Resource Access Management (RAM) | 2015-05-01 | すべて | N/A |
Identity Management Service (IMS) | 2019-08-15 | すべて | N/A |
Elastic Compute Service (ECS) | 2014-05-26 | RunInstances | 1 つ以上の従量課金またはサブスクリプションの ECS インスタンスを作成します。 |
CreateInstance | サブスクリプションまたは従量課金の ECS インスタンスを作成します。 | ||
CreateAutoProvisioningGroup | 自動プロビジョニンググループを作成します。 | ||
StartInstance | ECS インスタンスを起動します。 | ||
StartInstances | 複数の ECS インスタンスを一度に起動します。 | ||
RunCommand | ECS インスタンスでコマンドを実行します。 | ||
DeleteInstance | ECS インスタンスを削除します。 | ||
DeleteInstances | 複数の ECS インスタンスを一度に削除します。 | ||
DeleteSnapshotGroup | スナップショット整合性グループを削除します。 | ||
DeleteSnapshot | スナップショットを削除します。 | ||
DeleteImage | カスタムイメージを削除します。 | ||
CreateCommand | クラウドアシスタントのコマンドを作成します。 | ||
InvokeCommand | 1 つ以上の ECS インスタンスでクラウドアシスタントのコマンドを実行します。 | ||
Elastic Container Instance | 2018-08-08 | CreateContainerGroup | コンテナグループを作成します。 |
CreateContainerGroupFromTemplate | テンプレートを使用してコンテナグループを作成します。 | ||
BatchCreateContainerGroups | 複数のコンテナグループを一度に作成します。 | ||
DeleteContainerGroup | コンテナグループを削除します。 | ||
DeleteContainerGroups | 複数のコンテナグループを一度に削除します。 | ||
Short Message Service (SMS) | 2017-05-25 | AddSmsTemplate | メッセージテンプレートを作成します。 |
SendSms | メッセージを送信します。 | ||
SendBatchSms | 複数のメッセージを一度に送信します。 | ||
CreateSmsTemplate | メッセージテンプレートを作成します。 | ||
Elastic Desktop Service | 2020-09-30 | StartDesktops | クラウドコンピューターを起動します。 |
CreateDesktops | クラウドコンピューターを作成します。 | ||
CreateDesktopGroup | クラウドコンピュータープールを作成します。 | ||
ModifyDesktopGroup | クラウドコンピュータープールの構成を変更します。 | ||
RebootDesktops | クラウドコンピューターを再起動します。 | ||
RebuildDesktops | クラウドコンピューターを再作成します。 | ||
GetConnectionTicket | クラウドコンピューターの接続認証情報を取得します。 | ||
ModifyDesktopSpec | クラウドコンピューターのインスタンスタイプを変更するか、ディスクをスケールアップします。 | ||
RunCommand | クラウドコンピューターでコマンドを実行します。 | ||
Performance Testing Service | 2019-08-10 | StartJMeterTesting | Apache JMeter テストを開始します。 |
SaveJMeterScene | Apache JMeter でテストシナリオを保存します。 | ||
CreateJMeterScene | Apache JMeter のテストシナリオを作成します。 | ||
CreateCronJob | スケジュールされたストレステストタスクを作成します。 | ||
StartSceneTesting | ストレステストタスクを開始します。 | ||
StartDebugging | デバッグタスクを開始します。 | ||
CreateScene | テストシナリオを作成します。 | ||
SaveScene | テストシナリオを保存します。 | ||
Performance Testing Service | 2020-10-20 | SaveOpenJMeterScene | テストシナリオを保存します。 |
StartDebuggingJMeterScene | テストシナリオをデバッグします。 | ||
StartTestingJMeterScene | JMeter シナリオでストレステストを開始します。 | ||
SavePtsScene | テストシナリオを保存または変更します。 | ||
CreatePtsScene | テストシナリオを作成します。 | ||
StartDebugPtsScene | テストシナリオのデバッグを開始します。 | ||
StartPtsScene | テストシナリオを開始します。 | ||
ApsaraDB RDS for MySQL | 2014-08-15 | ModifyBackupPolicy | ApsaraDB RDS for MySQL インスタンスのバックアップポリシー設定を変更します。 |
DeleteBackup | ApsaraDB RDS for MySQL インスタンスのデータバックアップファイルを削除します。 | ||
DescribeBackups | ApsaraDB RDS for MySQL インスタンスのデータバックアップファイルを照会します。 | ||
DeleteDBInstance | ApsaraDB RDS for MySQL インスタンスを解放します。 | ||
DestroyDBInstance | ApsaraDB RDS for MySQL インスタンスを完全に削除します。 | ||
DeleteDatabase | ApsaraDB RDS for MySQL インスタンスからデータベースを削除します。 | ||
CreateAccount | データベースアカウントを作成します。 | ||
ResetAccountPassword | データベースアカウントのパスワードをリセットします。 | ||
ResetAccount | 特権アカウントの権限をリセットします。 | ||
GrantAccountPrivilege | ApsaraDB RDS インスタンス内のデータベースへのアカウントアクセスを許可します。 | ||
データディザスタリカバリ | 2021-01-01 | ModifyBackupStrategy | バックアップスケジュールを変更します。 |
CreateDownload | ダウンロードタスクを作成します。 | ||
DescribeDownloadBackupSetStorageInfo | ダウンロードしたバックアップセットのストレージ情報を照会します。 | ||
Alibaba Cloud DNS (DNS) | 2015-01-09 | DeleteDomain | ドメイン名を削除します。 |
AddDomainRecord | DNS レコードを追加します。 | ||
DeleteDomainRecord | DNS レコードを削除します。 | ||
UpdateDomainRecord | DNS レコードを変更します。 | ||
SetDomainRecordStatus | DNS レコードのステータスを変更します。 | ||
Alibaba Cloud Billing | 2017-12-14 | RefundInstance | インスタンスのサブスクリプションを解除します。 |
Elastic High Performance Computing (E-HPC) Instant Computing Service | 2023-07-01 | CreateJob | E-HPC Instant ジョブを作成します。 |
CreatePool | リソースプールを作成します。 | ||
E-HPC | 2024-07-30 | CreateCluster | E-HPC クラスターを作成します。 |
CreateNodes | 複数のコンピューティングノードを一度に作成します。 | ||
Data Management (DMS) | 2018-11-01 | CreateOrder | チケットを作成します。 |
CreateDataExportOrder | SQL 結果セットをエクスポートするためのチケットを作成します。 | ||
CreateDatabaseExportOrder | データベースをエクスポートするためのチケットを作成します。 | ||
CreateDataCorrectOrder | 標準データ変更チケットを作成します。 | ||
CreateDataCronClearOrder | 既存データをクリアするためのチケットを作成します。 | ||
CreateDataImportOrder | データをインポートするためのチケットを作成します。 | ||
CreateFreeLockCorrectOrder | ロックフリー変更チケットを作成します。 | ||
GetDataExportDownloadURL | データエクスポートファイルのダウンロード URL を取得します。 | ||
GetDbExportDownloadURL | データベースエクスポートファイルのダウンロード URL を取得します。 | ||
CreateProcCorrectOrder | プログラマブルオブジェクトを変更するためのチケットを作成します。 |