API資格情報は、AccessKeyペアとも呼ばれ、ユーザーが内部リソースにアクセスできるようにするための一意で重要なID資格情報です。 これらは、ユーザーが特定のAlibaba CloudサービスのAPI操作を呼び出すときに、通信を暗号化し、ユーザーのIDを認証するために使用されます。 AccessKeyペアは、クラウドユーザーがクラウドサービスAPIを呼び出してクラウドリソースにアクセスするための唯一のID資格情報です。
API資格情報はパスワードと同等ですが、さまざまなシナリオで使用されます。 API資格情報は、コマンドラインを使用してAlibaba Cloud APIを呼び出すために使用され、パスワードは、クラウドサービスのコンソールにログインするために使用されます。
Alibaba Cloudでは、ユーザーはAccessKeyペアを使用してAPIリクエストを作成したり、Alibaba Cloud SDKを使用してリソースを管理したりできます。 AccessKeyペアは、AccessKey IDとAccessKeyシークレットで構成されます。 AccessKey IDはユーザーを識別するために使用され、AccessKey secretはユーザーのキーを認証するために使用されます。 AccessKeyシークレットは秘密にしておく必要があります。 
AccessKeyペアが漏洩すると、ユーザーはデータ侵害などのリスクにさらされます。
AccessKeyペアの自動閉ループセキュリティチェック
Security Centerは、偶発的なAccessKeyペアリークを防止し、Alibaba Cloud上のサービスのセキュリティを確保するための包括的な検出を提供します。 検出には、構成チェック、リーク動作検出、および異常呼の検出が含まれる。
Alibaba CloudはGitHubと協力して、トークンスキャンメカニズムを実装しています。 GitHubは、最大のオープンソースコード管理プロバイダーです。
Security Centerは、GitHubでのAccessKeyペアのリークを検出するために、AccessKeyペアの自動閉ループセキュリティチェックを提供します。 Alibaba Cloudは、AccessKeyペアを含むコードがGitHubに送信されてから数秒以内にユーザーに通知し、応答します。 これにより、AccessKeyペアが漏洩した後のユーザーへの影響を最小限に抑えます。
構成チェック: CSPM
Alibaba Cloudサービスの使用時に例外を防ぐには、Security Centerコンソールにログインし、左側のナビゲーションウィンドウでを選択します。 [CSPM] ページで、Alibaba Cloudサービスの設定項目が危険にさらされているかどうかを確認できます。
Alibaba Cloudサービスのログ監査が有効状態であることを確認します。 この方法で、異常な呼び出しが存在するかどうかを確認できます。
Alibaba CloudアカウントのAccessKeyペアではなく、RAMユーザーのAccessKeyペアが使用されていることを確認します。 また、最小の特権の原則に従います。 これにより、AccessKeyペアが漏洩しても、Alibaba Cloudアカウントの制御権限が完全に失われることはありません。
多要素認証を確認する
Alibaba Cloudアカウントに対してTOTPが有効になっています。 これにより、パスワード漏洩による不正アクセスのリスクが軽減されます。
説明MFAは、Timeベースのワンタイムパスワード (TOTP) に名前が変更されました。
リーク動作の検出: AccessKeyペアリークの検出
Security Centerコンソールにログインし、左側のナビゲーションウィンドウでを選択します。 AKリーク検出ページで、AccessKeyペアリークの詳細を表示できます。
異常な呼び出しの検出:
Security Centerコンソールにログインし、[アラート] ページで [クラウド脅威検出] タイプのアラートを表示できます。 Security CenterがAccessKeyペアを含む異常な呼び出しを検出した場合、Security Centerはアラートを生成し、通知を送信します。 このようにして、できるだけ早い機会にリークを処理できます。
セキュリティの提案
前述のAccessKeyペアリークの検出および対応策に加えて、Alibaba Cloudサービスを使用する場合は、次のセキュリティ仕様に準拠することを推奨します。 これにより、AccessKeyペアリークの影響が軽減されます。
埋め込まないAccessKeyコード内のペア。
コードに埋め込まれたAccessKeyペアは無視できます。 管理を容易にするために、AccessKeyペアをデータベースまたは個別のファイルに保存することを推奨します。
更新AccessKeyペア定期的に。
コード内の既存のAccessKeyペアを定期的に更新することを推奨します。 これにより、元のコードのリークがオンラインビジネスに影響を与えないようにします。
不要な取り消しAccessKey定期的にペアになります。
Alibaba Cloud管理コンソールで、AccessKeyペアへの最後のアクセス時刻を表示できます。 不要なAccessKeyペアを無効にすることを推奨します。
最小特権の原則に従って、RAMユーザーを使用します。
ビジネス要件に基づいてRAMユーザーに読み取りおよび書き込み権限を付与し、ビジネス用に異なるRAMユーザーのAccessKeyペアを使用できます。
ログ監査を有効にし、ログをObject Storage Service (OSS) とlog Serviceに配信して保存と監査を行います。
OSSに保存された操作ログは、発生した例外に対する固定の証拠を提供します。 多数のログがある場合は、ログをLog Serviceに配信して、効率的にログを検索できます。