访问密钥AccessKey(简称AK)是您调用阿里云API时用于完成身份验证的凭证。大量安全事件表明,AK泄露后,黑客会在短时间内利用该AK控制账号,破坏您云上业务的正常运行,导致大额欠费以及数据泄露等严重问题。为保护您的云上资产安全,当有迹象表明您的AK存在泄漏风险时,阿里云会对该AK进行限制性保护,防止风险进一步扩大。
AK限制性保护现象
当您通过开发工具(API、CLI、SDK、Terraform等)访问阿里云时,如果收到如下报错信息,则表示当前用于身份验证的AK已被限制性保护。
Forbidden : There is a risk of leakage of this AccessKey.AK限制性保护范围
AK限制性保护对部分高危API生效,不区分访问IP地址或访问方法。高危API列表将会持续调整,详情请参见API访问权限限制性保护列表。
解除AK限制性保护
由于AK创建后无法修改,已泄露的AK在完成删除或轮转前将持续引发风险,因此限制性保护无法解除。
此外,限制性保护API列表范围有限,黑客仍有可能利用泄漏AK调用保护列表以外的API,影响您云上业务的正常运行,因此该措施只能作为临时性保护,您应该参考AccessKey泄露处理方案尽快完成AK删除或轮转,彻底消除风险。
如果您在处理过程中遇到困难,或对限制性保护措施存在异议,您可以访问应急向导页面,单击联系支持获取人工支持。
API访问权限限制性保护列表
云产品 | API | API描述 |
访问控制(RAM) | 全部 | 无 |
身份管理(IMS) | 全部 | 无 |
云服务器 | RunInstances | 创建一台或多台按量付费或者包年包月ECS实例 |
CreateInstance | 创建一台包年包月或者按量付费ECS实例 | |
CreateAutoProvisioningGroup | 创建一个弹性供应组 | |
StartInstance | 启动一台实例 | |
StartInstances | 启动实例 | |
RunCommand | 在实例中执行脚本 | |
DeleteInstance | 删除ECS实例 | |
DeleteInstances | 批量删除ECS实例 | |
DeleteSnapshotGroup | 删除快照分组 | |
DeleteSnapshot | 删除指定快照 | |
弹性容器实例 | CreateContainerGroup | 创建一个容器组 |
CreateContainerGroupFromTemplate | 直接通过模板创建ECI实例 | |
BatchCreateContainerGroups | 批量创建容器组 | |
DeleteContainerGroup | 删除一个容器组 | |
DeleteContainerGroups | 批量释放 | |
短信服务 | AddSmsTemplate | 申请短信模板 |
SendSms | 发送短信 | |
SendBatchSms | 批量发送短信 | |
无影云电脑(2020-09-30) | StartDesktops | 启动云电脑 |
CreateDesktops | 创建云电脑 | |
CreateDesktopGroup | 创建云电脑池 | |
ModifyDesktopGroup | 修改云电脑池 | |
RebootDesktops | 重启云电脑 | |
RebuildDesktops | 变更云电脑镜像 | |
GetConnectionTicket | 连接云电脑 | |
ModifyDesktopSpec | 修改云电脑配置 | |
RunCommand | 通过远程命令操作云电脑 | |
性能测试(2019-08-10) | StartJMeterTesting | 开始JMeter测试 |
SaveJMeterScene | 编辑JMeter场景 | |
CreateJMeterScene | 创建JMeter场景 | |
CreateCronJob | 创建定时压测任务 | |
StartSceneTesting | 启动压测任务 | |
StartDebugging | 启动调试任务 | |
CreateScene | 创建场景 | |
SaveScene | 编辑场景 | |
性能测试(2020-10-20) | SaveOpenJMeterScene | 保存场景 |
StartDebuggingJMeterScene | 调试场景 | |
StartTestingJMeterScene | 压测场景 | |
SavePtsScene | 保存或修改场景 | |
CreatePtsScene | 创建场景 | |
StartDebugPtsScene | 启动场景调试 | |
StartPtsScene | 启动场景 | |
云数据库(2014-08-15) | ModifyBackupPolicy | 修改实例备份策略 |
DeleteBackup | 删除实例数据备份文件 | |
DescribeBackups | 查看RDS实例备份集列表 | |
DeleteDBInstance | 释放RDS实例 | |
DestroyDBInstance | 销毁实例 | |
DeleteDatabase | 删除数据库 | |
CreateAccount | 创建数据库账号 | |
ResetAccountPassword | 重置数据库账号的密码 | |
ResetAccount | 重置高权限账号权限 | |
数据库备份(2021-01-01) | ModifyBackupStrategy | 修改备份时间 |
CreateDownload | 创建下载任务 | |
DescribeDownloadBackupSetStorageInfo | 查看下载备份集的存储信息 |