访问密钥(AccessKey)长期使用而不轮转,会因多次暴露增加泄露风险,可能对您的云上资源安全造成威胁。因此,为避免您的业务遭受损失,我们建议您通过定期轮转访问密钥来加强防护。
访问密钥长期使用的风险说明
泄露风险累积:密钥使用时间越长,暴露途径可能越多(例如历史代码泄露、内部人员违规留存、日志意外记录等),被恶意利用的可能性会相应增加。
影响范围扩大:若密钥被窃取,攻击者可长期潜伏并持续滥用权限,可能导致数据泄露、服务中断或资源恶意消耗,若没有及时感知密钥泄露,难以快速止损。
访问密钥信息盘点及处理建议
盘点现有密钥:您可以通过主账号或具有 CAM 权限的账号登录访问管理控制台,前往 访问管理 > 概览 页面,下载用户凭证报告,查看主账号下的全部密钥清单,全面核查密钥状态及使用情况。
不使用主账号密钥:
腾讯云强烈建议您不要创建或使用主账号密钥。应通过 CAM 子用户和角色授权等方式进行日常操作和 API 调用。
主账号密钥拥有账户所有资源的完全控制权,包括财务、用户权限和数据管理。一旦泄露,可能会造成全局性、灾难性的安全事件,且权限无法快速收回。
使用子账号密钥:
子账号的权限应符合最小权限原则。
人员子账号应与程序子账号分离,即人员子账号不创建访问密钥(AccessKey),仅允许登录控制台;程序子账号仅使用访问密钥(AccessKey),不允许登录控制台。
子账号的密钥至少90天一轮转,若密钥用于敏感业务,请以更严格的标准调整轮转周期。
密钥轮转操作说明
禁用旧的 API 访问密钥:禁用旧密钥前,请确认所有业务已切换至新密钥(可通过 操作审计 控制台和通过 访问管理 > API密钥管理 > 更多访问记录,查询近期调用记录)。具体禁用操作,请参见 禁用子账号 API 密钥。
删除旧的 API 访问密钥:禁用后建议观察业务运行状态,确认无异常后再删除旧密钥。具体删除操作,请参见 删除子账号 API 密钥。
