Kredensial API, juga dikenal sebagai pasangan AccessKey, adalah kredensial identitas unik yang memungkinkan pengguna mengakses sumber daya internal. Kredensial ini digunakan untuk mengenkripsi komunikasi dan mengotentikasi identitas pengguna saat memanggil operasi API dari layanan Alibaba Cloud tertentu. Pasangan AccessKey merupakan satu-satunya kredensial identitas bagi pengguna cloud untuk memanggil API layanan cloud dan mengakses sumber daya cloud.
Kredensial API setara dengan kata sandi tetapi digunakan dalam skenario berbeda. Kredensial API digunakan untuk memanggil API Alibaba Cloud melalui baris perintah, sedangkan kata sandi digunakan untuk masuk ke Konsol Manajemen Alibaba Cloud.
Di Alibaba Cloud, pengguna dapat menggunakan AccessKey pair untuk membuat permintaan API atau menggunakan SDK Alibaba Cloud untuk mengelola sumber daya. Sebuah AccessKey pair terdiri dari ID AccessKey dan Rahasia AccessKey. ID AccessKey digunakan untuk mengidentifikasi pengguna, dan Rahasia AccessKey digunakan untuk mengotentikasi kunci pengguna. Anda harus menjaga kerahasiaan Rahasia AccessKey Anda.
Jika pasangan AccessKey bocor, pengguna akan terpapar risiko seperti pelanggaran data.
Pemeriksaan keamanan loop tertutup otomatis pasangan AccessKey
Security Center menyediakan deteksi komprehensif untuk mencegah kebocoran AccessKey pair secara tidak sengaja dan memastikan keamanan layanan di Alibaba Cloud. Deteksi ini mencakup pemeriksaan konfigurasi, deteksi perilaku kebocoran, dan deteksi panggilan abnormal.
Alibaba Cloud telah bekerja sama dengan GitHub untuk mengimplementasikan mekanisme pemindaian token. GitHub adalah penyedia manajemen kode sumber terbuka terbesar.
Security Center menyediakan pemeriksaan keamanan loop tertutup otomatis pasangan AccessKey untuk mendeteksi kebocoran pasangan AccessKey di GitHub. Alibaba Cloud memberi tahu pengguna dan merespons dalam beberapa detik setelah kode yang mencakup pasangan AccessKey dikirimkan ke GitHub. Hal ini meminimalkan dampak pada pengguna setelah pasangan AccessKey bocor.
Configuration check: CSPM
Untuk mencegah pengecualian saat menggunakan layanan Alibaba Cloud, masuk ke Konsol Security Center dan pilih di panel navigasi sebelah kiri. Di halaman CSPM, Anda dapat memeriksa apakah item konfigurasi layanan Alibaba Cloud Anda berisiko.
Pastikan log audit layanan Alibaba Cloud dalam keadaan Enabled. Dengan cara ini, Anda dapat memeriksa apakah ada panggilan abnormal.
Gunakan pasangan AccessKey dari pengguna RAM, bukan pasangan AccessKey dari akun Alibaba Cloud. Selain itu, patuhi prinsip hak istimewa minimal. Dengan cara ini, jika pasangan AccessKey bocor, kontrol penuh atas akun Alibaba Cloud tidak hilang.
Aktifkan autentikasi multi-faktor TOTP untuk akun Alibaba Cloud Anda. Ini mengurangi risiko akses tidak sah karena kebocoran kata sandi.
CatatanMFA telah diganti namanya menjadi Kata Sandi Satu Kali Berbasis Waktu (TOTP).
Leak behavior detection: detection of AccessKey pair leaks
Anda dapat masuk ke Konsol Security Center dan memilih di panel navigasi sebelah kiri. Di halaman AK leak detection, Anda dapat melihat detail kebocoran pasangan AccessKey.
Detection of abnormal calls:
Anda dapat masuk ke Konsol Security Center dan melihat peringatan tipe Cloud threat detection di halaman Alerts. Jika Security Center mendeteksi panggilan abnormal yang mencakup pasangan AccessKey, Security Center menghasilkan peringatan dan mengirimkan notifikasi. Dengan cara ini, Anda dapat menangani kebocoran pada kesempatan pertama.
Saran keamanan
Selain langkah-langkah deteksi dan respons terhadap kebocoran pasangan AccessKey yang disebutkan di atas, kami menyarankan Anda mematuhi spesifikasi keamanan berikut saat menggunakan layanan Alibaba Cloud. Hal ini mengurangi dampak dari kebocoran pasangan AccessKey.
Do not embed AccessKey pairs in code.
Pasangan AccessKey yang disematkan dalam kode mungkin diabaikan. Kami menyarankan Anda menyimpan pasangan AccessKey di database atau file terpisah untuk memudahkan pengelolaan.
Update AccessKey pairs on a regular basis.
Kami menyarankan Anda secara rutin memperbarui pasangan AccessKey yang ada di kode. Hal ini memastikan bahwa kebocoran kode asli tidak memengaruhi bisnis online.
Revoke unnecessary AccessKey pairs on a regular basis.
Anda dapat melihat waktu akses terakhir ke pasangan AccessKey di Konsol Manajemen Alibaba Cloud. Kami menyarankan Anda disable pasangan AccessKey yang tidak diperlukan.
Abide by the principle of least privilege and use RAM users.
Anda dapat memberikan izin baca dan tulis kepada pengguna RAM sesuai persyaratan bisnis dan menggunakan pasangan AccessKey dari pengguna RAM yang berbeda untuk bisnis.
Enable log audit and deliver the logs to Object Storage Service (OSS) and Log Service for storage and audit.
Log operasi yang disimpan di OSS memberikan bukti tetap untuk pengecualian yang terjadi. Jika Anda memiliki sejumlah besar log, Anda dapat mengirimkan log ke Log Service, di mana Anda dapat mencari log secara efisien.