AccessKey(简称 AK)是阿里云用于身份验证的访问凭证,包含 AccessKey ID 和 AccessKey Secret,用于调用阿里云 OpenAPI。
AK 一旦泄露,可能导致数据泄露、资源被恶意操作,甚至产生高额费用,因此在使用过程中必须严格遵循安全规范。为帮助您有效降低风险,我们整理了三条简单又实用的安全小贴士👇
配置 AK 权限策略
您应该尽量避免使用主账号 AK,因为主账号拥有全部权限,一旦泄露影响范围极大。建议创建 RAM 用户 AK 并为其分配最小必要权限,以限制潜在泄露的影响范围。如果确需要使用主账号 AK,建议配置网络访问策略,仅允许通过特定的IP地址或IP地址段访问。
禁止在代码中硬编码 AK
切勿将 AK 直接写入源代码或配置文件中,这极易导致凭证意外暴露。推荐通过配置系统环境变量或接入KMS密钥管理服务等安全方式动态获取 AK,确保敏感信息不暴露在代码或日志中。
定期轮转 AK
AK 是一种长期有效的静态凭证,除非手动删除,一经创建即永久有效。定期轮转 AK,可显著降低因 AK 泄露带来的安全风险,因此我们建议您每 90 天主动轮换一次 AK。
