存取金鑰AccessKey(簡稱AK)是您調用阿里雲API時用於完成身分識別驗證的憑證。大量安全事件表明,AK泄露後,駭客會在短時間內利用該AK控制帳號,破壞您雲上業務的正常運行,導致大額欠費以及資料泄露等嚴重問題。為保護您的雲上資產安全,當有跡象表明您的AK存在泄漏風險時,阿里雲會對該AK進行限制性保護,防止風險進一步擴大。
AK限制性保護現象
當您通過開發工具(API、CLI、SDK、Terraform等)訪問阿里雲時,如果收到如下報錯資訊,則表示當前用於身分識別驗證的AK已被限制性保護。
Forbidden : There is a risk of leakage of this AccessKey.AK限制性保護範圍
AK限制性保護對部分高危API生效,不區分訪問IP地址或存取方法。高危API列表將會持續調整,詳情請參見API存取權限限制性保護列表。
解除AK限制性保護
由於AK建立後無法修改,已泄露的AK在完成刪除或輪轉前將持續引發風險,因此限制性保護無法解除。
此外,限制性保護API列表範圍有限,駭客仍有可能利用泄漏AK調用保護列表以外的API,影響您雲上業務的正常運行,因此該措施只能作為臨時性保護,您應該參考AccessKey泄露處理方案儘快完成AK刪除或輪轉,徹底消除風險。
如果您在處理過程中遇到困難,或對限制性保護措施存在異議,您可以訪問應急嚮導頁面,單擊聯絡支援擷取人工支援。
API存取權限限制性保護列表
雲產品 | API版本 | API | API描述 |
存取控制RAM | 2015-05-01 | 全部 | 無 |
身份管理IMS | 2019-08-15 | 全部 | 無 |
Elastic Compute Service | 2014-05-26 | RunInstances | 建立一台或多台隨用隨付或者訂用帳戶ECS執行個體 |
CreateInstance | 建立一台訂用帳戶或者隨用隨付ECS執行個體 | ||
CreateAutoProvisioningGroup | 建立一個彈性供應組 | ||
StartInstance | 啟動一台執行個體 | ||
StartInstances | 啟動執行個體 | ||
RunCommand | 在執行個體中執行指令碼 | ||
DeleteInstance | 刪除ECS執行個體 | ||
DeleteInstances | 大量刪除ECS執行個體 | ||
DeleteSnapshotGroup | 刪除快照分組 | ||
DeleteSnapshot | 刪除指定快照 | ||
DeleteImage | 刪除一份自訂鏡像 | ||
CreateCommand | 建立一條雲助手命令 | ||
InvokeCommand | 為一台或多台ECS執行個體觸發一條雲助手命令 | ||
Elastic Container Instance | 2018-08-08 | CreateContainerGroup | 建立一個容器組 |
CreateContainerGroupFromTemplate | 直接通過模板建立ECI執行個體 | ||
BatchCreateContainerGroups | 大量建立容器組 | ||
DeleteContainerGroup | 刪除一個容器組 | ||
DeleteContainerGroups | 批量釋放 | ||
Short Message Service | 2017-05-25 | AddSmsTemplate | 申請簡訊模板 |
SendSms | 傳送簡訊 | ||
SendBatchSms | 批量傳送簡訊 | ||
CreateSmsTemplate | 申請簡訊模板 | ||
無影雲電腦ECD | 2020-09-30 | StartDesktops | 啟動雲電腦 |
CreateDesktops | 建立雲電腦 | ||
CreateDesktopGroup | 建立雲電腦池 | ||
ModifyDesktopGroup | 修改雲電腦池 | ||
RebootDesktops | 重啟雲電腦 | ||
RebuildDesktops | 變更雲電腦鏡像 | ||
GetConnectionTicket | 串連雲電腦 | ||
ModifyDesktopSpec | 修改雲電腦配置 | ||
RunCommand | 通過遠程命令操作雲電腦 | ||
Performance Testing Service | 2019-08-10 | StartJMeterTesting | 開始JMeter測試 |
SaveJMeterScene | 編輯JMeter情境 | ||
CreateJMeterScene | 建立JMeter情境 | ||
CreateCronJob | 建立定時壓測任務 | ||
StartSceneTesting | 啟動壓測任務 | ||
StartDebugging | 啟動調試任務 | ||
CreateScene | 建立情境 | ||
SaveScene | 編輯情境 | ||
Performance Testing Service | 2020-10-20 | SaveOpenJMeterScene | 儲存情境 |
StartDebuggingJMeterScene | 調試情境 | ||
StartTestingJMeterScene | 壓測情境 | ||
SavePtsScene | 儲存或修改情境 | ||
CreatePtsScene | 建立情境 | ||
StartDebugPtsScene | 啟動情境調試 | ||
StartPtsScene | 啟動情境 | ||
雲資料庫RDS MySQL版 | 2014-08-15 | ModifyBackupPolicy | 修改執行個體備份策略 |
DeleteBackup | 刪除執行個體資料備份檔案 | ||
DescribeBackups | 查看RDS執行個體備份組列表 | ||
DeleteDBInstance | 釋放RDS執行個體 | ||
DestroyDBInstance | 銷毀執行個體 | ||
DeleteDatabase | 刪除資料庫 | ||
CreateAccount | 建立資料庫帳號 | ||
ResetAccountPassword | 重設資料庫帳號的密碼 | ||
ResetAccount | 重設高許可權帳號許可權 | ||
Database BackupDBS | 2021-01-01 | ModifyBackupStrategy | 修改備份時間 |
CreateDownload | 建立下載任務 | ||
DescribeDownloadBackupSetStorageInfo | 查看下載備份組的儲存資訊 | ||
Alibaba Cloud DNS | 2015-01-09 | DeleteDomain | 刪除網域名稱 |
AddDomainRecord | 添加解析記錄 | ||
DeleteDomainRecord | 刪除解析記錄 | ||
UpdateDomainRecord | 修改網域名稱解析記錄 | ||
SetDomainRecordStatus | 設定解析選項組 |