API資格情報は、AccessKeyペアでもあり、一意で重要なID資格情報です。 API資格情報は、非対称キーアルゴリズムを使用して生成される認証キーペアです。 API資格情報は、ユーザーが特定のAlibaba CloudサービスのAPI操作を呼び出すときに、通信を暗号化し、ユーザーのIDを認証するために使用されます。 ユーザーはAPI資格情報を使用して、必要なクラウドリソースにアクセスできます。
API資格情報は、他のシナリオのパスワードと同等です。 API資格情報は、コマンドラインを使用してAlibaba Cloud APIを呼び出すために使用され、パスワードは、クラウドサービスのコンソールにログインするために使用されます。
AccessKeyペアの自動閉ループセキュリティチェック
Security Centerは、偶発的なAccessKeyペアリークを防止し、Alibaba Cloud上のサービスのセキュリティを確保するための包括的な検出を提供します。 検出には、構成チェック、リーク動作検出、および異常呼の検出が含まれる。
Alibaba CloudはGitHubと協力して、トークンスキャンメカニズムを実装しています。 GitHubは、最大のオープンソースコード管理プロバイダーです。
Security Centerは、GitHubでのAccessKeyペアのリークを検出するために、AccessKeyペアの自動閉ループセキュリティチェックを提供します。 Alibaba Cloudは、AccessKeyペアを含むコードがGitHubに送信されてから数秒以内にユーザーに通知し、応答します。 これにより、AccessKeyペアが漏洩した後のユーザーへの影響を最小限に抑えます。
- Configuration check: configuration assessmentAlibaba Cloudサービスの使用時に例外を防ぐには、Security Centerコンソールにログインし、左側のナビゲーションウィンドウで [クラウドプラットフォーム設定評価] ページで、Alibaba Cloudサービスの設定項目が危険にさらされているかどうかを確認できます。を選択します。
- Alibaba Cloudサービスの監査ログが有効状態であることを確認します。 この状況では、異常な呼び出しが存在するかどうかを確認できます。
- Alibaba CloudアカウントのAccessKeyペアではなく、RAMユーザーのAccessKeyペアが使用されていることを確認してください。 また、最小の特権の原則に従います。 これにより、AccessKeyペアが漏洩しても、Alibaba Cloudアカウントの制御権限が完全に失われることはありません。
- Alibaba Cloudアカウントに対して多要素認証 TOTPが有効になっていることを確認します。 This reduces the risks of unauthorized access due to password leaks.
注 多要素認証 (MFA) の名前がTOTPに変更されました。
- リーク動作の検出: AccessKeyペアリークの検出Security Centerコンソールにログインし、左側のナビゲーションウィンドウで AccessKeyリークの検出ページで、AccessKeyペアリークの詳細を表示できます。を選択します。
- Abnormal calls:
Security Centerコンソールにログインし、[アラート] ページで [クラウド脅威検出] タイプのアラートを表示できます。 Security CenterがAccessKeyペアを含む異常な呼び出しを検出すると、アラートを生成してユーザーに通知します。 このようにして、漏れを適時に検出することができる。
セキュリティの提案
前述のAccessKeyペアリークの検出および対応策に加えて、Alibaba Cloudサービスを使用する場合は、次のセキュリティ仕様に準拠することを推奨します。 これにより、AccessKeyペアリークの影響が軽減されます。
- AccessKeyペアをコードに埋め込まないでください。
コードに埋め込まれたAccessKeyペアは無視できます。 管理を容易にするために、AccessKeyペアをデータベースまたは個別のファイルに保存することを推奨します。
- AccessKeyペアを定期的に変更します。
コード内の既存のAccessKeyペアを定期的に変更することを推奨します。 This ensures that the leaks of original code do not affect online business.
- 不要なAccessKeyペアを定期的に取り消します。
コンソールでAccessKeyペアへの最終アクセス時刻を表示できます。 不要なAccessKeyペアを無効にすることを推奨します。
- Abide by the principle of least privilege and use RAM users.
You must grant the read and write permissions to RAM users based on business requirements and use the AccessKey pairs of different RAM users for business.
- ログ監査を有効にし、長期保存と監査のためにログをObject Storage Service (OSS) とlog Serviceに配信します。
OSSに保存された操作ログは、例外が発生した場合の確実な証拠を提供します。 If you have a large number of logs, you can deliver the logs to Log Service, where you can search for specific logs in an efficient manner.