阿里云提供了查看和管理AccessKey使用记录的功能,以便您监控账户安全并及时发现潜在风险。您可以通过操作审计控制台按需查询AccessKey的基本信息、访问的云服务及相关IP地址和资源。
前提条件
请提前获取待查询的AccessKey ID。具体操作,请参见获取AccessKey。
操作审计默认记录最近90天的事件,如需追溯更早的操作记录,需创建跟踪将事件投递到SLS或OSS。具体操作,请参见创建单账号跟踪。
操作步骤
-
登录操作审计控制台。
-
在左侧导航栏,选择。
-
在AccessKey 事件查询页面,输入AccessKey ID,然后单击
图标。 -
在基本信息区域,可查看AccessKey ID、账号ID(阿里云账号ID)、用户名、RAM 用户 ID、最后使用时间和最后使用云服务等信息。
-
在访问的云服务区域,可查看该AccessKey访问的云服务列表、事件列表、IP 列表和资源列表。
-
云服务列表
在访问的云服务区域,可查看云服务和云服务最后使用时间。
-
事件列表
单击目标云服务操作列的事件列表,可查看事件名称、事件最后使用时间、最后访问地域和事件详情等信息。
-
IP列表
单击目标云服务操作列的IP 列表,查询IP、最后使用时间、最后使用地域和IP地址详情。
-
资源列表
单击目标云服务操作列的资源列表,查询资源类型、资源名称、最后使用时间、最后使用地域和资源详情。
关于AccessKey审计支持的资源类型,请参见资源类型。
-
AK泄露排查与处置
AccessKey泄露后,通过AccessKey审计排查泄露期间的异常操作,及时止损。
重点关注的高危事件类型
在事件列表中,重点排查以下异常操作事件:
|
事件名称 |
风险说明 |
|
|
攻击者利用泄露的AK创建ECS实例,用于挖矿或搭建代理。 |
|
|
攻击者开放高危端口(如22、3389),暴露内网资源。 |
|
|
攻击者为已有RAM用户创建新AK,用于持久化访问。 |
|
|
攻击者提权,为自身或新建用户授予AdministratorAccess等高危权限。 |
|
|
攻击者创建后门RAM用户,建立持久访问通道。 |
发现异常操作后的处置步骤
-
禁用并删除泄露的AccessKey。在RAM控制台禁用该AK,确认业务不受影响后删除。同时为相关用户轮转新AK。
-
检查是否被创建了新AK或RAM用户。在事件列表中搜索CreateAccessKey和CreateUser事件,删除所有未经授权创建的AK和RAM用户。
-
回滚异常资源。排查并释放攻击者创建的ECS实例、OSS Bucket等资源,撤销非法安全组规则和权限策略变更。
-
排查异常IP。在IP列表中识别非内部IP地址,定位攻击来源和影响范围。
相关操作
-
您还可以通过访问控制查看AccessKey的相关内容。具体操作,请参见查看RAM用户的AccessKey信息。
-
您还可以调用API接口查询AccessKey的相关事件记录。具体操作,请参见AccessKey审计。
-
您还可以通过事件查询功能查询AccessKey的详细调用记录。具体操作,请参见如何查询AccessKey调用的云服务和调用记录?。