すべてのプロダクト
Search
ドキュメントセンター

Elastic Compute Service:ECS OpenAPI への HTTPS のみのアクセスの強制

最終更新日:May 16, 2026

Elastic Compute Service (ECS) OpenAPI に HTTPS を強制することで、AccessKey 認証情報と機密データを傍受や中間者攻撃から保護します。

セキュリティリスク

HTTP は ECS OpenAPI リクエストをプレーンテキストで送信します。ルーター、スイッチ、通信事業者などの中間ノードは、コンテンツ全体を読み取れます。これにより、以下のセキュリティリスクが生じます。

  1. 認証情報とデータの漏洩:API リクエストには、認証情報 (AccessKey)、インスタンス ID、ディスクデータが含まれています。HTTP 経由では、この情報はプレーンテキストで転送されます。攻撃者はネットワークスニッフィングによって情報を傍受し、アカウントの侵害につながる可能性があります。

  2. 中間者 (MitM) 攻撃:攻撃者は、お客様と Alibaba Cloud サーバーの両方を盗聴し、なりすまして通信を改ざんする可能性があります。たとえば、攻撃者は、インスタンス作成リクエストを、コアビジネスインスタンスを削除する悪意のある命令に置き換えたり、レスポンスに不正なデータを注入したりする可能性があります。

  3. なりすましとフィッシング:HTTP はサーバーの正当性を検証できません。攻撃者は、DNS レコードを偽造したり、偽のサーバーをセットアップしたりして、API リクエストをリダイレクトし、認証情報を窃取する可能性があります。

ベストプラクティス

SDK は、デフォルトで SSL/TLS 証明書検証を有効にします。お使いの環境に必要な証明書がない場合、検証エラーが発生します。

通信のセキュリティを確保するため、IgnoreSSL = false を設定して証明書検証を有効にしてください。

言語

V 2.0

V 1.0

Java

HTTPS リクエストの設定

HTTPS リクエストの設定

Python

SDK での HTTPS および TLS の設定

HTTPS の設定

PHP

HTTPS リクエストの設定

HTTPS リクエストの設定

Node.js/TypeScript

HTTPS リクエストの設定

.NET

HTTPS リクエストの設定

HTTPS リクエストの設定

Go

SDK での HTTPS および TLS の設定

SSL 検証

コンプライアンス

HTTPS 以外の ECS OpenAPI リクエストのブロック

組織またはアカウントレベルで RAM ポリシーを使用して、HTTPS 以外の ECS OpenAPI リクエストをブロックします。

  • エンタープライズユーザーの場合:

    1. Alibaba Cloud アカウントで Resource Directory コンソールにログインします。左側のナビゲーションペインで、[コントロールポリシー] をクリックします。カスタムポリシーを作成し、次の JSON コンテンツを含めます。

      {
        "Statement": [
          {
            "Action": "ecs:*",
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
              "Bool": {
                "acs:SecureTransport": "true"
              }
            }
          }
        ],
        "Version": "1"
      }
    2. Resource Directory コンソールで、ターゲットフォルダーを選択し、ポリシーをアタッチします。これにより、フォルダー内のアカウントからの HTTPS 以外のリクエストがブロックされます。

  • 個人ユーザーの場合:

    1. Alibaba Cloud アカウントで RAM コンソールにログインします。左側のナビゲーションペインで 権限付与ポリシー をクリックし、同じ内容のカスタムポリシーを作成します。

    2. RAM ユーザー、RAM ユーザーグループ、または RAM ロールにポリシーをアタッチします。ポリシー権限の管理をご参照ください。