客户发现他们的RAM用户的Access Key(LTAI4FpVB5fvWMQnZhSLqXnM)设置了IP白名单,但该用户在未添加到白名单列表的云南地区的IP地址上仍能够访问相关OSS资源,并询问为什么会出现这种情况以及如何防止未经授权的访问行为。
问题原因是'GetCallerIdentity'这个STS API接口不需要进行鉴权验证,所以即使未加白名单也可以调用。针对此问题,客服解释称这个API功能是为了显示调用者的身份,并且提到虽然不受白名单限制,但该功能对业务来说并没有安全风险,因为这是一个get类型的接口,即便获取到了数据也无法用于其他非法活动。最后,客服确认了客户的疑问并表示将结束该任务单,如有更多问题可随时反馈。
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。