无永久访问密钥访问华为云OpenAPI最佳实践
应用访问云服务OpenAPI需要进行认证,常用的方式是在应用程序中维护一个永久访问密钥,使用永久访问密钥签名并调用云服务的OpenAPI。但永久访问密钥一旦生成,除非主动禁用或删除,否则长期有效。一旦泄露,攻击者可以长期利用,并访问永久访问密钥所属用户有权限操作的所有云资源。为避免永久访问密钥泄露,应用程序需要对其进行安全防护,比如限制使用范围,加密存储、定期轮转等。无形中提高了永久访问密钥的使用门槛和使用成本。
典型的永久访问密钥泄露案例
- 技术资料、产品文档等公开的资料中包含访问密钥。
- 业务代码中有硬编码的明文访问密钥,有代码仓权限的员工均能获取,甚至进一步将代码发布至开源社区后,导致明文的访问密钥被公开。
无永久访问密钥方案
常见场景的无永久访问密钥方案如下表所示。
|
方案名称 |
适用场景 |
|---|---|
|
在ECS上通过委托的临时访问密钥访问其他云服务 |
客户开发的应用程序运行的ECS实例上,该应用程序需要调用OpenAPI访问云服务资源,此时需要为应用程序配置访问凭证进行身份验证。您可以创建ECS云服务委托,授权ECS服务从IAM获取临时访问密钥,应用程序无需关注访问凭证的管理和维护,直接从ECS元数据服务获取临时访问密钥,即可签名后调用云服务OpenAPI。ECS会为您自动轮换这些临时凭证,从而确保每次申请的临时凭证安全有效。详细方案请参考操作指导。 |
|
在CCE集群中使用工作负载Identity的安全配置建议 |
客户开发的应用程序运行的CCE容器上,该应用程序需要调用OpenAPI访问云服务资源,此时需要为应用程序配置访问凭证进行身份验证。您可以创建OIDC身份提供商,将应用程序的ServiceAccount和IAM用户组做映射,从而获取IAM Token模拟IAM用户访问云服务。CCE会为您自动轮转IAM Token,保证每次获取的IAM Token安全有效。详细方案请参考操作指导。 |
|
在UCS中使用工作负载Identity |
客户开发的应用程序运行的UCS容器上,该应用程序需要调用OpenAPI访问云服务资源,此时需要为应用程序配置访问凭证进行身份验证。您可以创建OIDC身份提供商,将应用程序的ServiceAccount和IAM用户组做映射,从而获取IAM Token模拟IAM用户访问云服务。UCS会为您自动轮转IAM Token,保证每次获取的IAM Token安全有效。详细方案请参考操作指导。 |
