僅允許HTTPS訪問ECS OpenAPI - Elastic Compute Service

建議使用加密的HTTPS協議，從而保障訪問憑證（AccessKey）和敏感性資料的傳輸安全，防止資訊泄露和中間人攻擊。

安全風險

使用http://協議訪問ECS OpenAPI，就如同在網路上發送明文資料。從用戶端到阿里雲伺服器的整個路徑上，任何中間節點（如路由器、交換器、網路電訊廠商）都能輕易讀取全部內容。這會直接導致以下安全風險：

憑證與資料泄露：API請求中包含您的身份憑證 AccessKey (AK/SK) 以及操作的敏感資訊（如執行個體ID、磁碟資料等）。通過HTTP傳輸時，這些資訊完全以明文形式暴露，攻擊者可通過網路嗅探等手段輕鬆截獲，導致賬戶許可權被盜用。
中間人攻擊 (Man-in-the-Middle, MitM)：攻擊者不僅能竊聽，還能在您和阿里雲伺服器之間冒充雙方，篡改通訊內容。例如，將您建立ECS執行個體的請求，替換為刪除您核心業務執行個體的惡意指令，或者在返回給您的資料中植入錯誤資訊。
身份偽造與釣魚：HTTP協議無法驗證您所已連線的服務器是否為真實的阿里雲官方伺服器。攻擊者可以偽造一個DNS記錄或搭建一個假冒的伺服器，誘導您的API請求發往惡意地址，從而竊取您的憑證。

使用HTTPS協議訪問OpenAPI時，SDK會預設開啟校正SSL/TLS認證有效性，若您代碼環境沒有認證環境，則會報錯認證校正失敗。

為保障通訊安全，建議設定運行時參數IgnoreSSL = false開啟認證校正。

在組織或賬戶層面通過RAM Policy策略，禁止未使用HTTPS進行安全訪問的ECS OpenAPI請求。

針對企業使用者：
1. 使用阿里雲主帳號登入資來源目錄控制台，單擊左側功能表列的管控策略，建立自訂權限原則，粘貼以下JSON內容。
```
{
  "Statement": [
    {
      "Action": "ecs:*",
      "Effect": "Allow",
      "Resource": "*",
      "Condition": {
        "Bool": {
          "acs:SecureTransport": "true"
        }
      }
    }
  ],
  "Version": "1"
}
```
2. 在資來源目錄中選擇合適的節點繫結原則，策略將對目錄下的帳號產生攔截效果。
針對非企業使用者：
1. 使用阿里雲主帳號登入RAM控制台，單擊左側功能表列的權限原則，建立一條與上述內容相同的自訂策略。
2. 通過系統管理權限策略授權將該條權限原則授權給RAM使用者、RAM使用者組或RAM角色。