凭据泄露响应

凭据泄露指的是个人或组织在使用各种服务（如云服务、社交媒体、电子邮件等）时，其身份验证信息（如用户名、密码、API密钥、访问令牌等）被未经授权的第三方获取或泄露。“凭据泄露响应”类剧本已关联“凭据泄露响应”流程，剧本实现如下操作：

表1 剧本触发条件说明
剧本	触发条件
“凭据泄露响应-AccessKey”	该剧本由告警事件触发，当存在同时满足如下3个条件的告警时，且剧本已启用，则剧本会自动生效停用AKSK。条件1：告警类型是“AKSK风险”。条件2：告警等级为“高危”或“致命”。条件3：告警来源是账号风控工作台的异常AccessKey泄露模块的告警。异常AccessKey泄露模块统计的是“告警管理”页面攻击中属于数据泄露AKSK风险类型的攻击列表，数据来源包含GitHub、OBS/RDS中泄露AKSK产生的告警。其中OBS/RDS中泄露AKSK产生的告警依赖开通DSC服务并在安全云脑打开DSC日志自动转告警按钮。在安全云脑控制台接入“DSC告警日志”请参见接入日志数据。异常AccessKey泄露模块依赖数据安全中心 DSC服务，需要确保大模型数据安全防护在有效使用期内，通用数据安全防护和大模型数据安全防护均支持。购买DSC请参见购买大模型数据安全防护或购买通用数据安全防护。

该剧本需用户手动启用。

仅适用于华为云账号凭证相关业务，其他业务系统凭证暂不适用。
该剧本生效会执行停用AKSK操作，需参见添加委托授权为SecMaster_Agency（必选）、SecMaster_Account_Agency_*（可选）添加授权，其中SecMaster_Account_Agency_*为多账号管理场景下需要使用的委托。

登录安全云脑 SecMaster控制台。
在页面左上角单击，选择“管理与监管 > 统一身份认证服务 IAM”，进入统一身份认证服务管理控制台。
添加自定义策略。
1. 在左侧导航栏选择“权限管理 > 权限”，并在权限页面右上角单击“创建自定义策略”。
2. 配置策略。
  - 策略名称：自定义。
  - 策略配置方式：选择“JSON视图”。
  - 策略内容：请直接复制粘贴以下内容。
```
{
    "Version": "1.1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:users:listUsers",
                "iam:users:updateUser",
                "iam:credentials:updateCredential"

            ]
        }
    ]
}
```
3. 单击“确定”。
委托授权。
1. 在左侧导航栏选择“委托”，进入委托页面后，单击“SecMaster_Agency”，默认进入SecMaster_Agency的基本信息页面。（可选）多账号管理场景下，也需要为SecMaster_Account_Agency_*添加授权。
2. 选择“授权记录”页签，并单击“授权”。
3. 在选择策略页面，搜索并选中3.添加自定义策略添加的策略后，单击“下一步”。
4. 设置授权范围，请选择“所有资源”，设置完成后，单击“确定”。