操作场景
访问密钥(AccessKey)作为 API 调用云资源的身份凭证,长期启用状态且未定期轮转使用可能造成密钥泄漏风险。密钥泄漏后可能会造成安全威胁,例如:非授权访问、数据泄漏、资源消耗等。
您需要定期对密钥进行审计,禁用长期不活跃的密钥、轮转使用较久的活跃密钥。
说明:
注意事项
主账号密钥高风险:强烈建议使用子用户密钥,避免主账号密钥泄露导致全局权限失控。
定期清理:禁用长期未使用的密钥,减少安全风险。
监控告警:通过操作审计 使用跟踪集投递日志 到 COS/CLS,监控密钥使用状态。
操作步骤
查看密钥活跃时间的方式
说明:
方式1:批量导出用户凭证报告(推荐)
1. 登录控制台,进入 访问管理(CAM)> 概览 页面。
2. 在下载用户凭证报告区域,单击下载用户凭证报告。
3. 在下载的报告中可以查看所有密钥的密钥 ID、创建时间、最近活跃时间。
方式2:控制台查看单个密钥
主账号密钥:在访问管理 > 访问密钥 > API密钥管理 页面,可以查看最近访问时间和更多访问记录。
子用户密钥:在访问管理 > 用户列表页面,单击目标用户名称,进入目标用户详情页面,在 API 密钥页签,可以查看最近访问时间和更多访问记录。
方式3:API 查询
查询子用户列表:调用 ListUsers API 接口,获取子用户信息(含用户名、UIN)。
查询主账号或子用户下的密钥 ID:调用 ListAccessKeys API 接口,输入主/子用户 UIN 或用户名,获取关联密钥 ID 列表。
查询指定密钥的最近访问时间:调用 GetSecurityLastUsed API 接口,输入密钥 ID 查询最近访问时间(格式:2025-06-01)。
注意:
关于数据不一致的说明:控制台显示的最近访问时间为系统前一日(T-1)更新的最新访问记录,更多访问记录则展示当天(T-0)更新的访问记录。
密钥访问记录包含以下密钥行为:调用任何云服务 API(无论成功或失败)。
防止密钥被自动禁用的操作
若密钥需保留,请在每隔 90天内执行以下任一动作:
主动调用密钥:
创建新密钥轮换(推荐):
1. 在 API 密钥管理页面,单击新建密钥。
2. 替换业务中的旧密钥。
3. 旧密钥确认废弃后,立即禁用。
