阿里雲帳號、RAM 使用者的金鑰組一旦發生泄漏,會給雲上業務和資源帶來很大的安全隱患。本文為您介紹常見的密鑰使用安全方案。
常見的 AK 泄漏案例
很多開發人員直接將代碼寫入程式碼在業務代碼中,有代碼倉庫閱讀許可權的開發人員均能擷取到 AK 資訊。更有甚者,直接將業務代碼上傳到開源社區或代碼託管服務,導致 AK 的進一步泄漏。
有些使用者為了能夠讓用戶端直接能夠調用到 OpenAPI ,將 AK 寫到用戶端代碼中。攻擊者通過反編譯用戶端代碼,擷取到 AK 資訊。
開發人員的技術文檔或者分享材料中包含 AK 資訊。
產品說明文檔中包含的範例代碼,包含 AK 資訊。
如何規避此類風險,讓 AK 不被泄露呢?
Alibaba Cloud Credentials
Alibaba Cloud Credentials 是阿里雲為開發人員使用者提供的身份憑證管理工具。配置了 Credentials 預設憑據鏈後,訪問阿里雲 OpenAPI 時,您無需在代碼中寫入程式碼明文 AK,可有效保證您帳號下雲資源的安全。
支援三種配置讀取方式。
通過環境變數讀取 AK。
通過系統設定檔讀取 AK。
通過代碼中指定類型為
ecs_ram_role讀取執行個體RAM角色的臨時 Token。
我們已為您封裝了多種語言的 Credentials SDK,可根據專案使用的程式設計語言查看對應的整合文檔。
雲上安全實踐
更多雲上安全實踐,請參閱以下文檔。