Elastic Compute Service (ECS) OpenAPI に HTTPS を強制することで、AccessKey 認証情報と機密データを傍受や中間者攻撃から保護します。
セキュリティリスク
HTTP は ECS OpenAPI リクエストをプレーンテキストで送信します。ルーター、スイッチ、通信事業者などの中間ノードは、コンテンツ全体を読み取れます。これにより、以下のセキュリティリスクが生じます。
認証情報とデータの漏洩:API リクエストには、認証情報 (AccessKey)、インスタンス ID、ディスクデータが含まれています。HTTP 経由では、この情報はプレーンテキストで転送されます。攻撃者はネットワークスニッフィングによって情報を傍受し、アカウントの侵害につながる可能性があります。
中間者 (MitM) 攻撃:攻撃者は、お客様と Alibaba Cloud サーバーの両方を盗聴し、なりすまして通信を改ざんする可能性があります。たとえば、攻撃者は、インスタンス作成リクエストを、コアビジネスインスタンスを削除する悪意のある命令に置き換えたり、レスポンスに不正なデータを注入したりする可能性があります。
なりすましとフィッシング:HTTP はサーバーの正当性を検証できません。攻撃者は、DNS レコードを偽造したり、偽のサーバーをセットアップしたりして、API リクエストをリダイレクトし、認証情報を窃取する可能性があります。
ベストプラクティス
SDK は、デフォルトで SSL/TLS 証明書検証を有効にします。お使いの環境に必要な証明書がない場合、検証エラーが発生します。
通信のセキュリティを確保するため、IgnoreSSL = false を設定して証明書検証を有効にしてください。言語 | V 2.0 | V 1.0 |
Java | ||
Python | ||
PHP | ||
Node.js/TypeScript | ||
.NET | ||
Go |
コンプライアンス
HTTPS 以外の ECS OpenAPI リクエストのブロック
組織またはアカウントレベルで RAM ポリシーを使用して、HTTPS 以外の ECS OpenAPI リクエストをブロックします。
エンタープライズユーザーの場合:
Alibaba Cloud アカウントで Resource Directory コンソールにログインします。左側のナビゲーションペインで、[コントロールポリシー] をクリックします。カスタムポリシーを作成し、次の JSON コンテンツを含めます。
{ "Statement": [ { "Action": "ecs:*", "Effect": "Allow", "Resource": "*", "Condition": { "Bool": { "acs:SecureTransport": "true" } } } ], "Version": "1" }Resource Directory コンソールで、ターゲットフォルダーを選択し、ポリシーをアタッチします。これにより、フォルダー内のアカウントからの HTTPS 以外のリクエストがブロックされます。
個人ユーザーの場合: