Topik ini menjawab pertanyaan umum mengenai pasangan AccessKey, termasuk definisinya, cara melihatnya, cara memeriksa apakah sedang digunakan, serta penanganan kebocoran.
Apa itu Pasangan AccessKey
Pasangan AccessKey adalah kredensial akses permanen yang disediakan oleh Alibaba Cloud kepada pengguna, terdiri dari ID AccessKey dan Rahasia AccessKey.
ID AccessKey digunakan untuk mengidentifikasi pengguna.
Rahasia AccessKey adalah kunci rahasia yang digunakan untuk menandatangani permintaan secara kriptografis.
ID AccessKey dan Rahasia AccessKey dihasilkan oleh RAM berdasarkan algoritma tertentu. Alibaba Cloud mengenkripsi keduanya selama penyimpanan dan transmisi.
Anda tidak dapat menggunakan pasangan AccessKey untuk masuk ke Konsol. Sebaliknya, pasangan ini digunakan untuk akses programatik ke Alibaba Cloud melalui alat pengembangan seperti API, CLI, SDK, atau Terraform. Alat-alat tersebut menggunakan pasangan AccessKey untuk menandatangani permintaan guna memverifikasi identitas Anda dan validitas permintaan tersebut.
Jenis-jenis Pasangan AccessKey apa saja yang disediakan oleh Alibaba Cloud?
Pasangan AccessKey Akun Alibaba Cloud
Pasangan AccessKey yang dibuat oleh akun Alibaba Cloud memiliki semua izin akun tersebut secara default dan dapat melakukan semua operasi. Jika pasangan AccessKey ini bocor, risikonya sangat tinggi. Kami sangat menyarankan agar Anda tidak membuat atau menggunakan pasangan AccessKey untuk akun Alibaba Cloud Anda.
Pasangan AccessKey Pengguna RAM
Untuk mengelola izin pengguna dengan Resource Access Management (RAM), Anda harus membuat pengguna RAM terlebih dahulu, lalu memberikan izin yang sesuai kepada masing-masing pengguna. Pasangan AccessKey pengguna RAM menyediakan akses programatik bagi pengguna tersebut. Izin pasangan AccessKey diwariskan dari kebijakan yang ditetapkan kepada pengguna, sehingga memungkinkan penerapan prinsip hak istimewa minimal. Untuk meminimalkan risiko, tetapkan pengguna RAM dan pasangan AccessKey unik untuk setiap aplikasi, bukan berbagi kredensial.
Informasi apa saja yang dapat saya lihat setelah membuat pasangan AccessKey?
Setelah membuat pasangan AccessKey, Anda dapat melihat informasi dasarnya, seperti ID AccessKey, status, layanan cloud terakhir yang digunakan, waktu penggunaan terakhir, dan waktu pembuatan. Untuk informasi lebih lanjut tentang cara melihat informasi pasangan AccessKey pengguna RAM, lihat Lihat informasi pasangan AccessKey pengguna RAM.
Apakah saya dapat melihat ID AccessKey setelah membuat pasangan AccessKey?
Ya, Anda bisa.
Apakah saya dapat melihat Rahasia AccessKey setelah membuat pasangan AccessKey?
Tidak, Anda tidak bisa. Rahasia AccessKey untuk akun Alibaba Cloud atau pengguna Resource Access Management (RAM) hanya ditampilkan saat pembuatan pasangan AccessKey tersebut. Anda tidak dapat mengkueri Rahasia AccessKey dalam operasi selanjutnya. Hal ini membantu mengurangi risiko kebocoran pasangan AccessKey. Catat Rahasia AccessKey tersebut dan jaga kerahasiaannya.
Bagaimana cara memeriksa apakah pasangan AccessKey sedang digunakan?
Anda dapat melihat waktu terakhir penggunaan pasangan AccessKey di Konsol Manajemen Alibaba Cloud atau dengan memanggil suatu operasi. Berikut detailnya:
Jika Anda mengakses halaman Pasangan AccessKey menggunakan akun Alibaba Cloud, Anda dapat melihat waktu terakhir penggunaan pasangan AccessKey akun Alibaba Cloud tersebut. Jika Anda mengakses halaman tersebut menggunakan pengguna RAM, Anda dapat melihat waktu terakhir penggunaan pasangan AccessKey pengguna RAM tersebut.
Jika Anda masuk ke Konsol RAM menggunakan akun Alibaba Cloud atau pengguna RAM yang memiliki hak administratif, Anda dapat melihat waktu terakhir penggunaan pasangan AccessKey semua pengguna RAM. Untuk informasi lebih lanjut, lihat Lihat informasi pasangan AccessKey pengguna RAM.
GetAccessKeyLastUsed - Kueri waktu terakhir penggunaan pasangan AccessKey tertentu
Anda dapat memanggil operasi ini untuk melihat waktu terakhir penggunaan pasangan AccessKey akun Alibaba Cloud atau pengguna RAM.
Apakah saya dapat mengubah ID AccessKey setelah membuat pasangan AccessKey?
Tidak, Anda tidak dapat mengubah ID AccessKey setelah membuat pasangan AccessKey. Anda hanya dapat menonaktifkan, mengaktifkan, atau menghapus pasangan AccessKey tersebut.
Apakah saya dapat memulihkan pasangan AccessKey setelah menghapusnya?
RAM menyediakan fitur Keranjang daur ulang. Saat Anda menghapus pasangan AccessKey pengguna RAM, pasangan tersebut dipindahkan ke Keranjang daur ulang. Anda dapat memulihkan pasangan AccessKey yang ada di Keranjang daur ulang.
Namun, pasangan AccessKey di Keranjang daur ulang hanya disimpan selama 30 hari. Setelah 30 hari, sistem secara otomatis menghapus pasangan tersebut secara permanen. Anda juga dapat menghapus pasangan AccessKey dari Keranjang daur ulang secara manual. Anda tidak dapat memulihkan pasangan AccessKey yang telah dihapus secara permanen.
Untuk informasi lebih lanjut, lihat Hapus pasangan AccessKey pengguna RAM.
Berhati-hatilah saat menghapus pasangan AccessKey. Jika Anda menghapus pasangan AccessKey yang sedang digunakan, kegagalan sistem dapat terjadi pada aplikasi Anda.
Apa yang harus saya lakukan jika pasangan AccessKey bocor?
Untuk informasi lebih lanjut, lihat Solusi untuk kebocoran pasangan AccessKey.
Bagaimana cara mengkueri akun yang dimiliki oleh suatu pasangan AccessKey?
Pasangan AccessKey merupakan kredensial akses programatik dan informasi sensitif. Alibaba Cloud tidak menyediakan kemampuan untuk mengkueri akun yang dimiliki oleh pasangan AccessKey tertentu.
Jika Anda memiliki kebutuhan ini, Anda dapat mencoba metode berikut untuk mengkueri akun yang dimiliki oleh suatu pasangan AccessKey dalam batas izin Anda:
Anda dapat masuk ke Konsol RAM menggunakan akun Alibaba Cloud Anda. Di halaman Pengguna, masukkan ID AccessKey ke dalam kotak pencarian untuk mengkueri akun tersebut. Jika Anda memiliki beberapa akun Alibaba Cloud, Anda harus mengkueri setiap akun tersebut.
Jika Anda telah mengaktifkan Direktori sumber daya dan membuat jejak multi-akun di ActionTrail untuk mengirimkan event operasi semua anggota dalam direktori sumber daya ke Simple Log Service atau Object Storage Service (OSS), Anda dapat mencoba mengkueri akun yang dimiliki oleh pasangan AccessKey tersebut dalam log audit.
Apa yang harus saya lakukan ketika muncul error "Ada risiko kebocoran AccessKey ini."?
Error ini menunjukkan bahwa pasangan AccessKey yang digunakan untuk verifikasi identitas berada dalam perlindungan restriktif. Untuk informasi lebih lanjut mengenai solusinya, lihat Deskripsi perlindungan restriktif untuk pasangan AccessKey.
Apa yang harus saya lakukan jika panggilan API ditolak oleh kebijakan kontrol akses jaringan dan penolakan tersebut tidak sesuai harapan saya?
Deskripsi masalah
Setelah kebijakan kontrol akses jaringan berbasis pasangan AccessKey diterapkan, panggilan dari alamat IP sumber yang tidak termasuk dalam rentang yang diizinkan akan ditolak. Pesan kesalahan umum sebagai berikut:
Message: The specified parameter "AccessKeyId.AccessPolicyDenied" is not valid.Message: code: 400, Specified access key denied due to access policy. Solusi
Jika suatu panggilan ditolak oleh kebijakan kontrol akses jaringan dan penolakan tersebut tidak sesuai harapan Anda, Anda dapat mencoba solusi berikut:
Periksa apakah kebijakan kontrol akses jaringan tingkat pasangan AccessKey telah dikonfigurasi untuk pasangan AccessKey yang ditolak tersebut.
Jika ya, ubah kebijakan kontrol akses jaringan tingkat pasangan AccessKey tersebut untuk menambahkan alamat IP sumber ke dalam kebijakan.
Jika tidak, lanjutkan ke langkah berikutnya.
Gunakan administrator RAM untuk memeriksa dan mengubah kebijakan kontrol akses jaringan berbasis pasangan AccessKey tingkat akun agar menambahkan alamat IP sumber ke dalam kebijakan.
Jika masalah masih berlanjut, alamat IP sumber mungkin salah. Anda perlu memeriksa dan mendapatkan alamat IP yang benar.
Anda dapat menggunakan ActionTrail untuk melakukan kueri riwayat alamat IP sumber panggilan dari Pasangan Kunci Akses. Untuk informasi selengkapnya, lihat Melihat riwayat alamat IP panggilan di ActionTrail.