存取金鑰AccessKey(簡稱AK)是您調用阿里雲API時用於完成身分識別驗證的憑證。大量安全事件表明,AK泄露後,駭客會在短時間內利用該AK控制帳號,破壞您雲上業務的正常運行,導致大額欠費以及資料泄露等嚴重問題。為保護您的雲上資產安全,當有跡象表明您的AK存在泄漏風險時,阿里雲會對該AK進行限制性保護,防止風險進一步擴大。
AK限制性保護現象
當您通過開發工具(API、CLI、SDK、Terraform等)訪問阿里雲時,如果收到如下報錯資訊,則表示當前用於身分識別驗證的AK已被限制性保護。
Forbidden : There is a risk of leakage of this AccessKey.AK限制性保護範圍
AK限制性保護對部分高危API生效,不區分訪問IP地址或存取方法。高危API列表將會持續調整,詳情請參見API存取權限限制性保護列表。
解除AK限制性保護
由於AK建立後無法修改,已泄露的AK在完成刪除或輪轉前將持續引發風險,因此限制性保護無法解除。
此外,限制性保護API列表範圍有限,駭客仍有可能利用泄漏AK調用保護列表以外的API,影響您雲上業務的正常運行,因此該措施只能作為臨時性保護,您應該參考AccessKey泄露處理方案儘快完成AK刪除或輪轉,徹底消除風險。
如果您在處理過程中遇到困難,或對限制性保護措施存在異議,您可以訪問應急嚮導頁面,單擊聯絡支援擷取人工支援。
API存取權限限制性保護列表
雲產品 | API | API描述 |
存取控制(RAM) | 全部 | 無 |
身份管理(IMS) | 全部 | 無 |
雲端服務器 | RunInstances | 建立一台或多台隨用隨付或者訂用帳戶ECS執行個體 |
CreateInstance | 建立一台訂用帳戶或者隨用隨付ECS執行個體 | |
CreateAutoProvisioningGroup | 建立一個彈性供應組 | |
StartInstance | 啟動一台執行個體 | |
StartInstances | 啟動執行個體 | |
RunCommand | 在執行個體中執行指令碼 | |
DeleteInstance | 刪除ECS執行個體 | |
DeleteInstances | 大量刪除ECS執行個體 | |
DeleteSnapshotGroup | 刪除快照分組 | |
DeleteSnapshot | 刪除指定快照 | |
Elastic Container Instance | CreateContainerGroup | 建立一個容器組 |
CreateContainerGroupFromTemplate | 直接通過模板建立ECI執行個體 | |
BatchCreateContainerGroups | 大量建立容器組 | |
DeleteContainerGroup | 刪除一個容器組 | |
DeleteContainerGroups | 批量釋放 | |
簡訊服務 | AddSmsTemplate | 申請簡訊模板 |
SendSms | 傳送簡訊 | |
SendBatchSms | 批量傳送簡訊 | |
無影雲電腦(2020-09-30) | StartDesktops | 啟動雲電腦 |
CreateDesktops | 建立雲電腦 | |
CreateDesktopGroup | 建立雲電腦池 | |
ModifyDesktopGroup | 修改雲電腦池 | |
RebootDesktops | 重啟雲電腦 | |
RebuildDesktops | 變更雲電腦鏡像 | |
GetConnectionTicket | 串連雲電腦 | |
ModifyDesktopSpec | 修改雲電腦配置 | |
RunCommand | 通過遠程命令操作雲電腦 | |
效能測試(2019-08-10) | StartJMeterTesting | 開始JMeter測試 |
SaveJMeterScene | 編輯JMeter情境 | |
CreateJMeterScene | 建立JMeter情境 | |
CreateCronJob | 建立定時壓測任務 | |
StartSceneTesting | 啟動壓測任務 | |
StartDebugging | 啟動調試任務 | |
CreateScene | 建立情境 | |
SaveScene | 編輯情境 | |
效能測試(2020-10-20) | SaveOpenJMeterScene | 儲存情境 |
StartDebuggingJMeterScene | 調試情境 | |
StartTestingJMeterScene | 壓測情境 | |
SavePtsScene | 儲存或修改情境 | |
CreatePtsScene | 建立情境 | |
StartDebugPtsScene | 啟動情境調試 | |
StartPtsScene | 啟動情境 | |
雲資料庫(2014-08-15) | ModifyBackupPolicy | 修改執行個體備份策略 |
DeleteBackup | 刪除執行個體資料備份檔案 | |
DescribeBackups | 查看RDS執行個體備份組列表 | |
DeleteDBInstance | 釋放RDS執行個體 | |
DestroyDBInstance | 銷毀執行個體 | |
DeleteDatabase | 刪除資料庫 | |
CreateAccount | 建立資料庫帳號 | |
ResetAccountPassword | 重設資料庫帳號的密碼 | |
ResetAccount | 重設高許可權帳號許可權 | |
Database Backup(2021-01-01) | ModifyBackupStrategy | 修改備份時間 |
CreateDownload | 建立下載任務 | |
DescribeDownloadBackupSetStorageInfo | 查看下載備份組的儲存資訊 |