访问密钥泄露处理方案

华为云安全措施

华为云一直致力于保护您的云身份及云资源安全。当华为云发现您的访问密钥已经泄露，将通过您预留的联系方式及时通知您。为避免导致更大的资产损失，华为云有可能会采取限制该访问密钥的部分操作，如会限制该访问密钥创建的身份（如IAM用户、委托等），详情请参见访问密钥限制性保护说明。

请您务必及时关注短信、邮箱、电话等渠道的通知，并结合业务实际需求及时处置。同时，请及时关注您账号下的云资源情况，以免影响业务的正常运行。

华为云作为云服务提供商，无法也不可能掌握您全部访问密钥的安全现状。根据安全责任共担模型，云上的安全由您和华为云共同承担。其中访问密钥属于账号或IAM用户的访问凭证，相关安全责任完全由您负责，因此建议您妥善保管访问密钥。

华为云账号（主账号）访问密钥疑似泄露处理方案

场景一：

若确认该访问密钥尚未在您的业务中使用，请在我的凭证页面直接停用并删除该访问密钥。

场景二：

若确认该访问密钥已经在使用中。请使用以下方案轮转访问密钥。

• 方案1：在我的凭证页面，请先为账号创建一个新的访问密钥并妥善保管。同时将原访问密钥替换为新的访问密钥，验证业务正常运行后及时停用并删除原有的访问密钥。
• 方案2（推荐）：建议您创建一个IAM用户，为用户创建访问密钥并授予其业务必需的最小权限，使用该访问密钥代替主账号的访问密钥。同时，请停用并删除主账号的原访问密钥。

访问密钥删除后无法恢复，建议先停用并确保对业务无影响后再删除。

IAM用户访问密钥疑似泄露处理方案

场景一：

若确认该访问密钥尚未在您的业务中使用，请在IAM控制台直接停用并删除IAM用户的访问密钥。如您无权限，请联系有IAM操作权限的管理员。具体操作请参见管理IAM用户的访问密钥。

场景二：

若确认访问密钥已经在使用中且可以直接轮转，请尽快轮转。

请先创建一个新的访问密钥并妥善保管（每个IAM用户最多只能创建两个访问密钥）。同时将原访问密钥替换为新的访问密钥，验证业务正常运行后，在IAM控制台及时停用并删除原有的访问密钥。具体操作请参见管理IAM用户的访问密钥。（访问密钥删除后无法恢复，建议先停用并确保对业务无影响后再删除）

场景三：

若确认访问密钥在使用中且短期内无法轮转，为降低访问密钥泄露的影响，您可以按照如下步骤进行处置。完成后务必尽快轮转。

1. 缩小访问密钥权限。

   请根据您的实际业务诉求，尽快缩小疑似泄露访问密钥的权限，在不影响正常业务的情况下，禁止高危操作，避免核心资产受损。在访问密钥轮转后再解除该限制。

   建议禁止的高危权限，例如：

   • 禁止该IAM用户创建新的IAM用户和授权；
   • 禁止计算资源实例的操作，如关闭ECS、BMS服务器等；
   • 禁止存储资源实例的操作，如删除OBS桶、删除EVS云硬盘，删除RDS实例等；
   • 禁止删除日志，如删除云日志LTS上的日志、删除CTS追踪器等。

   具体操作，详见创建自定义策略、给IAM用户授权。

   同时建议您明确实际业务需要的权限，将不需要的权限全部移除，确保当前针对该访问密钥的授权符合最小权限集的安全要求。

2. 开启IAM用户的登录保护。

   建议您为华为云账号下所有可访问控制台的IAM用户开启登录保护，并建议您设置验证方式为安全等级更高的虚拟MFA。

   1. 设置华为云账号下的IAM用户登录控制台必须开启登录保护。具体操作请参见查看或修改IAM用户信息。
   2. 为用户绑定虚拟MFA设备。具体操作请参见为IAM用户绑定MFA设备。

3. 检查是否存在访问密钥异常操作。

   检查访问密钥是否存在异常操作行为，并排查是否有其他疑似泄露的访问密钥。

   检查方式：

   1. 在CTS控制台的事件列表中，过滤筛选“操作用户”为疑似泄露访问密钥的用户，查看是否有异常操作行为。
   2. 除检查已知存在泄露风险的访问密钥之外，还需进一步排查是否还有其他IAM用户和访问密钥存在异常操作行为。若发现异常行为，建议与对应人员确认操作是否由本人执行。若排查发现存在疑似泄露风险，建议按以下方式处理：
      • 疑似泄露的IAM用户如需继续使用，建议立即修改IAM用户密码并开启登录保护。
      • 疑似泄露的IAM用户如果为非正常创建或闲置，可先将其禁用，确认对业务无影响后再进行删除。
      • 如果访问密钥存在异常操作，参照上述方法先缩减权限后再进行轮转。

4. 检查是否存在异常费用。

   若在费用中心检查发现存在异常费用和账单，请结合上述操作实施防护措施。

防止访问密钥泄露的长期方案

详情请参见安全使用IAM最佳实践。