风险列表
1. 登录 云安全中心控制台,在左侧导览中,单击云 API 异常监测。
2. 在风险列表中,自动化扫描 AK 权限配置, 检查 AK 是否存在高权限策略,基于风险规则视角,查看配置风险描述与风险判定证据,并提供权限策略配置建议。
字段名 | 示例 | 说明 |
风险名称/类型 | 配置风险 | 单击拉起风险详情抽屉。 |
风险等级 | 严重 高危 中危 低危 提示 无效 | 基于腾讯云安全实践评定风险等级。 |
AK 名称/备注 | AKID75XXX 部门1AK | AK 名称与自定义备注。 AK 保留前6位与后11位,中间省略,支持一键复制;单击拉起 AK 详情抽屉。 备注可自定义编辑,不超过20字符,若备注为空显示“-”。 |
账号名称/身份 | 账号A 主账号/子账号(所属主账号:主账号 B) | AK 所属云厂商与账号,若为子账号展示所属主账号信息。 鼠标悬浮查看账号 ID 与 APPID;支持筛选主账号/子账号。 |
风险检出时间 | 2025-01-12 18:00:00 | 风险检出时间。 格式:YYYY-MM-DD HH:MM:SS。 支持排序。 |
处理状态 | 未处理 已处置 已忽略 | 展示风险处理状态,手动完成标记,处理状态支持筛选。 |
3. 在风险列表中,选择所需风险,单击详情/更多。
操作类型 | 说明 | |
详情 | | 单击拉起告警详情抽屉,查看风险描述与判定证据。查看风险检测内容以及 AK 对应的配置内容,根据 AK 权限策略配置对 AK 进行加固。 |
更多 | 检测 | 单击后重新检测该规则。 |
| 标记忽略 | 单击后处理状态变为“已忽略”。 |
| API 密钥管理 | 单击跳转至访问管理 > 访问密钥 > API 密钥管理。 |
规则说明
实时监控 AK 泄露与异常调用,监测分为三类:黑客工具识别、GitHub 泄露(github 合作 + IP 检查等)、异常 IP 调用敏感接口等,具体规则见下表:
规则名称 | 规则说明 |
应该对私有网络(VPC)的操作权限进行收敛 | 应该对私有网络(VPC)的操作权限进行收敛,不应拥有如下敏感接口权限:CreateCcnRouteTables, CreateNatGatewayDestinationIpPortTranslationNatRule, CreateNatGatewaySourceIpTranslationNatRule, CreateSecurityGroup, CreateSecurityGroupWithPolicies, CreateVpcEndPoint, CreateVpcPeeringConnection |
应该对向量数据库的操作权限进行收敛 | 应该向量数据库的操作权限进行收敛,不应拥有如下敏感接口权限:ModifyAccessKey |
应该对容器服务的操作权限进行收敛 | 应该容器服务的操作权限进行收敛,不应拥有如下敏感接口权限:CreateClusterEndpoint, DeleteEKSCluster, DeleteEKSContainerInstances, DescribeClusterKubeconfig, DescribeClusterSecurity, DescribeEKSClusterCredential |
应该对高性能计算平台的操作权限进行收敛 | 应该高性能计算平台的操作权限进行收敛,不应拥有如下敏感接口权限:ModifyInitNodeScripts |
应该对云开发服务的操作权限进行收敛 | 应该对云开发服务的操作权限进行收敛,不应拥有如下敏感接口权限:CreateCloudUser, DescribeEnvs |
应该对腾讯云自动化助手的操作权限进行收敛 | 应该对腾讯云自动化助手的操作权限进行收敛,不应拥有如下敏感接口权限:CreateCommand, CreateInvoker, EnableInvoker, InvokeCommand, RunCommand |
应该对安全凭证服务的操作权限进行收敛 | 应该对安全凭证服务的操作权限进行收敛,不应拥有如下敏感接口权限:AssumeRole, GetFederationToken |
应该对云函数的操作权限进行收敛 | 应该对云函数的操作权限进行收敛,不应拥有如下敏感接口权限:CreateFunction, Invoke |
应该对云数据库(Redis)的操作权限进行收敛 | 应该对云数据库(Redis)的操作权限进行收敛,不应拥有如下敏感接口权限:ClearInstance, KillMasterGroup, ModifyInstanceAccount, ResetPassword |
应该对云数据库(PostgreSQL)的操作权限进行收敛 | 应该对云数据库(PostgreSQL)的操作权限进行收敛,不应拥有如下敏感接口权限:ResetAccountPassword |
应该对集团账号管理的操作权限进行收敛 | 应该对集团账号管理的操作权限进行收敛,不应拥有如下敏感接口权限:AddUserToGroup, CreateUserSyncProvisioning |
应该对轻量应用服务器的操作权限进行收敛 | 应该对轻量应用服务器的操作权限进行收敛,不应拥有如下敏感接口权限:CreateKeyPair, ImportKeyPair, ResetInstancesPassword |
应该对域名注册的操作权限进行收敛 | 应该对域名注册的操作权限进行收敛,不应拥有如下敏感接口权限:CreateDomainBatch, RegisterDomain, RenewAgentPay |
应该对云解析(DNS)的操作权限进行收敛 | 应该对云解析(DNS)的操作权限进行收敛,不应拥有如下敏感接口权限:CreateDomainBatch, CreateShareDomains |
应该对容器安全服务(TCSS)的操作权限进行收敛 | 应该对容器安全服务(TCSS)的操作权限进行收敛,不应拥有如下敏感接口权限:DeleteMachine |
应该对主机安全(CWP)的操作权限进行收敛 | 应该对主机安全(CWP)的操作权限进行收敛,不应拥有如下敏感接口权限:DeleteMachine |
应该对操作审计(CloudAudit)的操作权限进行收敛 | 应该对操作审计(CloudAudit)的操作权限进行收敛,不应拥有如下敏感接口权限:DeleteAudit, DeleteAuditTrack |
应该对云数据库(MySQL)的操作权限进行收敛 | 应该对云数据库(MySQL)的操作权限进行收敛,不应拥有如下敏感接口权限:CloseWanService, CreateAccounts, CreateRoInstanceIp, DescribeAccounts, DescribeBackups, DescribeBinlogs, ModifyAccountPassword, ModifyDBInstanceSecurityGroups, OpenWanService |
应该对访问管理(CAM)的操作权限进行收敛 | 应该对访问管理(CAM)的操作权限进行收敛,不应拥有如下敏感接口权限:AddUser, AddUserToGroup, AttachRolePolicy, AttachUserPolicy, CreateAccessKey, CreateApiKey, CreateCollApiKey, CreateOIDCConfig, CreateRole, CreateSAMLProvider, CreateServiceLinkedRole, CreateUserOIDCConfig, CreateUserSAMLConfig, EnableApiKey, GetProjectKey, ListAccessKeys, ListUsers, UpdateAccessKey, UpdateCollPassword, UpdateUser |
应该对黑石物理服务器(BM)的操作权限进行收敛 | 应该对黑石物理服务器(BM)的操作权限进行收敛,不应拥有如下敏感接口权限:BuyDevices, CreateSpotDevice, ReloadDeviceOs, ResetDevicePassword, ShutdownDevices |
应该对云服务器(CVM)的操作权限进行收敛 | 应该对云服务器(CVM)的操作权限进行收敛,不应拥有如下敏感接口权限:CreateKeyPair, ExportImages, ImportKeyPair, InquirePriceCreateInstances, InquiryPriceRunInstances, ModifyImageSharePermission, ModifySecurityGroupPolicys, ResetInstancesPassword, RunInstances, Adduser, UpdateUser |
应该删除长期未使用AK密钥 | 应该删除长期未使用AK密钥,即使AK被禁用了也应该删除 |
不应该拥有高权限预设策略 | AK不应该有AdministratorAccess、QCloudResourceFullAccess、QcloudCamFullAccess、QCloudFinanceFullAccess高权限预设策略 |
