访问密钥AccessKey(简称AK)是您调用阿里云API时用于完成身份验证的凭证。大量安全事件表明,AK泄露后,黑客会在短时间内利用该AK控制账号,破坏您云上业务的正常运行,导致大额欠费以及数据泄露等严重问题。为保护您的云上资产安全,当有迹象表明您的AK存在泄露风险时,阿里云会对该AK进行限制性保护,防止风险进一步扩大。
AK限制性保护现象
当您通过开发工具(API、CLI、SDK、Terraform等)访问阿里云时,如果收到如下报错信息,则表示当前用于身份验证的AK已被限制性保护。
Forbidden : There is a risk of leakage of this AccessKey.
AK限制性保护范围
AK限制性保护对部分高危API生效,不区分访问IP地址或访问方法。高危API列表将会持续调整,详情请参见API访问权限限制性保护列表。
解除AK限制性保护
由于AK创建后无法修改,已泄露的AK在完成删除或轮转前将持续引发风险,因此限制性保护无法解除。
此外,限制性保护API列表范围有限,黑客仍有可能利用泄露AK调用保护列表以外的API,影响您云上业务的正常运行,因此该措施只能作为临时性保护,您应该参考AccessKey泄露处理方案尽快完成AK删除或轮转,彻底消除风险。
如果您在处理过程中遇到困难,或对限制性保护措施存在异议,您可以访问应急向导页面,单击联系支持获取人工支持。
API访问权限限制性保护列表
云产品 | API版本 | API | API描述 |
访问控制RAM | 2015-05-01 | 全部 | 无 |
身份管理IMS | 2019-08-15 | 全部 | 无 |
云服务器ECS | 2014-05-26 | RunInstances | 创建一台或多台按量付费或者包年包月ECS实例 |
CreateInstance | 创建一台包年包月或者按量付费ECS实例 | ||
CreateAutoProvisioningGroup | 创建一个弹性供应组 | ||
StartInstance | 启动一台实例 | ||
StartInstances | 启动实例 | ||
RunCommand | 在实例中执行脚本 | ||
DeleteInstance | 删除ECS实例 | ||
DeleteInstances | 批量删除ECS实例 | ||
DeleteSnapshotGroup | 删除快照分组 | ||
DeleteSnapshot | 删除指定快照 | ||
DeleteImage | 删除一份自定义镜像 | ||
CreateCommand | 新建一条云助手命令 | ||
InvokeCommand | 为一台或多台ECS实例触发一条云助手命令 | ||
弹性容器实例ECI | 2018-08-08 | CreateContainerGroup | 创建一个容器组 |
CreateContainerGroupFromTemplate | 直接通过模板创建ECI实例 | ||
BatchCreateContainerGroups | 批量创建容器组 | ||
DeleteContainerGroup | 删除一个容器组 | ||
DeleteContainerGroups | 批量释放 | ||
短信服务SMS | 2017-05-25 | AddSmsTemplate | 申请短信模板 |
SendSms | 发送短信 | ||
SendBatchSms | 批量发送短信 | ||
CreateSmsTemplate | 申请短信模板 | ||
无影云电脑ECD | 2020-09-30 | StartDesktops | 启动云电脑 |
CreateDesktops | 创建云电脑 | ||
CreateDesktopGroup | 创建云电脑池 | ||
ModifyDesktopGroup | 修改云电脑池 | ||
RebootDesktops | 重启云电脑 | ||
RebuildDesktops | 变更云电脑镜像 | ||
GetConnectionTicket | 连接云电脑 | ||
ModifyDesktopSpec | 修改云电脑配置 | ||
RunCommand | 通过远程命令操作云电脑 | ||
性能测试PTS | 2019-08-10 | StartJMeterTesting | 开始JMeter测试 |
SaveJMeterScene | 编辑JMeter场景 | ||
CreateJMeterScene | 创建JMeter场景 | ||
CreateCronJob | 创建定时压测任务 | ||
StartSceneTesting | 启动压测任务 | ||
StartDebugging | 启动调试任务 | ||
CreateScene | 创建场景 | ||
SaveScene | 编辑场景 | ||
性能测试PTS | 2020-10-20 | SaveOpenJMeterScene | 保存场景 |
StartDebuggingJMeterScene | 调试场景 | ||
StartTestingJMeterScene | 压测场景 | ||
SavePtsScene | 保存或修改场景 | ||
CreatePtsScene | 创建场景 | ||
StartDebugPtsScene | 启动场景调试 | ||
StartPtsScene | 启动场景 | ||
云数据库RDS MySQL版 | 2014-08-15 | ModifyBackupPolicy | 修改实例备份策略 |
DeleteBackup | 删除实例数据备份文件 | ||
DescribeBackups | 查看RDS实例备份集列表 | ||
DeleteDBInstance | 释放RDS实例 | ||
DestroyDBInstance | 销毁实例 | ||
DeleteDatabase | 删除数据库 | ||
CreateAccount | 创建数据库账号 | ||
ResetAccountPassword | 重置数据库账号的密码 | ||
ResetAccount | 重置高权限账号权限 | ||
数据库备份DBS | 2021-01-01 | ModifyBackupStrategy | 修改备份时间 |
CreateDownload | 创建下载任务 | ||
DescribeDownloadBackupSetStorageInfo | 查看下载备份集的存储信息 | ||
云解析DNS | 2015-01-09 | DeleteDomain | 删除域名 |
AddDomainRecord | 添加解析记录 | ||
DeleteDomainRecord | 删除解析记录 | ||
UpdateDomainRecord | 修改域名解析记录 | ||
SetDomainRecordStatus | 设置解析记录状态 | ||
阿里云Billing | 2017-12-14 | RefundInstance | 退订实例 |