阿里云AccessKey调用溯源最佳实践

AccessKey访问阿里云过程图

• 如果配置的是公网Endpoint，需要先通过VPC和NAT转换成出口EIP，然后到API网关请求目标资源数据，操作审计记录的调用源IP为公网出口IP地址。

• AccessKey访问云产品根据配置的Endpoint不同，调用过程也不同。

• 如果配置的是内网Endpoint，用户密钥直接通过VPC内网IP地址到API网关请求目标资源数据，而操作审计记录的调用源IP为VPC IP地址。

调用溯源架构

• 用户AccessKey使用过程中会将访问源IP地址、源端口、目标域名、目标端口、时间请求时间等信息进行日志保存。

• 一般AccessKey请求日志会在网关进行统一记录，然后操作审计、访问控制等云产品获取网关日志进行统一展示，供用户查询使用。

• VPC流日志、NAT日志等可协助溯源内网和出口EIP映射关系。

• OSS、MQ等部分云产品具体对象请求类日志量较大，操作审计日志未记录，需单独通过云产品自身日志功能开启进行查询。

操作审计日志转储配置

操作审计默认为每个阿里云账号记录最近90天的操作事件，必须创建跟踪才能记录更长时间的操作事件，否则将无法追溯90天以前的操作事件。同时为方便做数据统计分析以及多字段关联查询，建议也开启操作审计日志转储配置。

• 单账号跟踪配置文档。

• 多账号跟踪配置文档。

VPC流日志转储配置

VPC提供流日志功能，可以记录VPC网络中弹性网卡ENI（Elastic Network Interface）传入和传出的流量信息，可帮助检查访问控制规则、监控网络流量和排查网络故障。

• 流日志配置文档。

全链路溯源案例01

前提条件

开通操作审计日志和VPC流日志转储，日志保留时间大于事件发生时间。

场景描述

查找用户AccessKey最后一次调用的时间、内网IP、调用云产品和接口信息。

详细溯源步骤

1. 通过主账号或RAM子账号登录阿里云控制台，选择云产品日志服务 SLS。

   

2. 输入操作审计转储的日志服务 SLSproject名称，点击进入。

   

3. 选择要查询的时间段（近30天），输入查询SQL进行查询。

   *|select "event.acsregion" ,"event.errormessage","event.eventid","event.eventsource","event.eventname","event.requestid","event.servicename","event.sourceipaddress","event.useridentity.accesskeyid",from_unixtime(__time__) time from log where "event.userIdentity.accessKeyId"='用户AccessKeyID order by from_unixtime(__time__) desc limit 2得到执行时间（time）为:2022-01-04 13:59:34.000,云产品（event.servicename）：kms,接口（event.eventname）:Decrypt,源IP（event.sourceipaddress）：xx.xxx.xx.xx,目标域名或IP（event.eventsource）：kms.xxxxx.aliyuncs.com。

4. 发现调用源IP为EIP出口IP，解析目标域名对应的IP地址。

   目标域名先解析为IP地址：nslookup kms.xxxxx.aliyuncs.com。

   得到解析的目标IP地址Dest1和Dest2。

5. 根据VPC流日志和操作审计查询信息进行EIP和VPC IP映射查询。

   进入VPC流日志转储Project，根据目标IP地址、调用时间输入SQL进行查询。

   *|select srcaddr,dstaddr, from_unixtime(start) start ,from_unixtime(__time__) time from log where (dstaddr='Dest1' or dstaddr='Dest2') and from_unixtime(start)>='2022-1-4 13:59:33' and from_unixtime(start)<='2022-1-4 13:59:35' order by start desc根据映射关系可查到具体内网VPC IP地址。

全链路溯源案例02

前提条件

拥有云产品访问控制权限。

场景描述

超过6个月未使用的AccessKey梳理和禁用。

详细溯源步骤

1. 用户AccessKey最后使用时间查询可通过登录阿里云控制台，在云产品访问控制界面进行逐个查询，记录AccessKeyID、最后使用时间、状态等基础信息。

2. 为方便快速高效的进行批量查询，可通过阿里云OpenAPI进行查询。

   1. 列出所有RAM用户信息。

      ListUsers接口说明。

      ListUsers_Python脚本参考。

   2. 根据RAM用户信息，列数对应的AccessKey信息。

      ListAccessKeys接口说明。

      ListAccessKeys_Python脚本参考。

      GetAccessKeyLastUsed接口说明。

      GetAccessKeyLastUsed_Python脚本参考。

3. 根据最后访问时间，筛选出最近6个月未访问的AccessKey，然后在访问控制对其执行禁用。

全链路溯源案例03

前提条件

开通操作审计日志转储，日志保留时间大于统计需求时间。

场景描述

用户想通过AccessKeyID查询指定时间内所有访问源IP统计数据，方便实施访问控制白名单。

详细溯源步骤

1. 用户提供AccessKeyID，去云产品操作审计转储的SLS Project进行查询和统计数据分析。

2. 根据要做分级分析的时间，进行SQL统计分析查询。SQL语句可参考：

   * |select "event.sourceIpAddress" as "源IP" ,count(*) as "IP统计数量" from log where from_unixtime(__time__)>='2021-12-31' group by "event.sourceIpAddress" order by count(*) desc

3. 对AccessKey实施白名单访问控制。

   根据上一步梳理的访问源，通过访问控制自定义策略进行安全白名单设置，Accesskey ACL实施文档参考。

全链路溯源案例04

前提条件

开通操作审计日志，日志保留时间大于事件发生时间。

场景描述

用户想查看某个AccessKey在什么时间通过什么IP做了什么高风险操作。

详细溯源步骤

1. 操作审计控制台直接查看。

2. 通过日志服务 SLS做查询。查询SQL语句参考：

   *|select * from log where "event.eventName"='DeleteInstance' and "event.userIdentity.accessKeyId" ='用户AccessKey ID'

EIP出口IP无法通过流量日志溯源到内网IP地址

• 请检查流量日志保存时间是否在查询时间范围内，如保留周期超过查询时间则无法追溯内网IP映射关系。

• 请检查流日志是否采集全全部VPC交换机流量，如未采集全可能会漏掉部分流量导致无法追溯内网IP映射关系。

• 请检查SQL语句以及响应筛选条件（时间、端口、目标IP、进、出流量等）是否和操作审计事件时间等信息一致，如不一致可能导致无法追随内网IP映射关系。

操作审计无法找到对应AccessKey执行记录

• 对应云产品暂未接入操作审计日志，具体接入操作审计的云产品列表请参考。

• 对应云产品部分接口或事件未接入操作审计日志，需要单独开通对应云产品事件日志进行查询，如OSS、MQ等。

企业账号VPC云产品下无流日志菜单，无法完成流日志开通

• 目前流日志处于公测阶段，如未找到流日志菜单，可联系阿里云客户支持进行开通，具体开通区域说明请参考。