RAM用户的闲置AccessKey是指RAM拥有AccessKey,但从未使用过或超过90天未使用过。建议您定期清理RAM用户的闲置AccessKey。
风险说明
RAM用户的AccessKey具备访问阿里云OpenAPI的能力,在外部暴露的时间越长,则泄露风险越高。一旦泄露,则有可能会被攻击者利用,造成安全风险。
风险等级
高风险。
最佳实践
推荐通过临时访问凭证(STS Token)访问阿里云OpenAPI。如果特定场景下无法使用STS Token,则使用固定AccessKey。
对于只能使用固定AccessKey的场景,建议定期轮转AccessKey,降低暴露风险。
由于特殊原因不能轮转AccessKey的场景,则建议通过RAM权限策略设置访问白名单,在应用程序中对AccessKey ID和AccessKey Secret加密,定期审计AccessKey的使用,回收闲置AccessKey。
治理建议
根据不同情况的AccessKey,治理建议分别如下:
针对从未使用的RAM用户AccessKey
建议您直接禁用该AccessKey。禁用90天后,如果没有发生与该AccessKey相关的问题,则可以直接删除该AccessKey。具体操作,请参见禁用RAM用户的AccessKey和删除RAM用户的AccessKey。
针对超过90天未使用的RAM用户AccessKey
您需要确认该AccessKey是否在程序或应用中存在:
如果确认不存在,建议您直接禁用该AccessKey。禁用90天后,如果没有发生与该AccessKey相关的问题,则可以直接删除该AccessKey。具体操作,请参见禁用RAM用户的AccessKey和删除RAM用户的AccessKey。
如果确认存在,则该AccessKey仍旧有被调用的可能,建议轮转AccessKey。具体操作,请参见轮转RAM用户的AccessKey。
治理难度
治理难度高。