统一身份认证服务 IAM-访问密钥泄露处理方案:IAM用户访问密钥疑似泄露处理方案

时间：2025-02-12 15:15:10

IAM 用户访问密钥疑似泄露处理方案

场景一：

若确认该访问密钥尚未在您的业务中使用，请在IAM控制台直接停用并删除IAM用户的访问密钥。如您无权限，请联系有IAM操作权限的管理员。具体操作请参见管理IAM用户的访问密钥。

场景二：

若确认访问密钥已经在使用中且可以直接轮转，请尽快轮转。

请先创建一个新的访问密钥并妥善保管（每个IAM用户最多只能创建两个访问密钥）。同时将原访问密钥替换为新的访问密钥，验证业务正常运行后，在IAM控制台及时停用并删除原有的访问密钥。具体操作请参见管理IAM用户访问密钥。（访问密钥删除后无法恢复，建议先停用并确保对业务无影响后再删除）

场景三：

若确认访问密钥在使用中且短期内无法轮转，为降低访问密钥泄露的影响，您可以按照如下步骤进行处置。完成后务必尽快轮转。

缩小访问密钥权限。

请根据您的实际业务诉求，尽快缩小疑似泄露访问密钥的权限，在不影响正常业务的情况下，禁止高危操作，避免核心资产受损。在访问密钥轮转后再解除该限制。

建议禁止的高危权限，例如：
- 禁止该IAM用户创建新的IAM用户和授权；
- 禁止计算资源实例的操作，如关闭E CS 、BMS服务器等；
- 禁止存储资源实例的操作，如删除OBS桶、删除EVS云硬盘，删除RDS实例等；
- 禁止删除日志，如删除云日志 LTS上的日志、删除 CTS 追踪器等。
具体操作，详见创建自定义策略、给IAM用户授权。

同时建议您明确实际业务需要的权限，将不需要的权限全部移除，确保当前针对该访问密钥的授权符合最小权限集的安全要求。
开启IAM用户的登录保护。

建议您为华为云账号下所有可访问控制台的IAM用户开启登录保护，并建议您设置验证方式为安全等级更高的虚拟MFA。
1. 设置华为云账号下的IAM用户登录控制台必须开启登录保护。具体操作请参见查看或修改IAM用户信息。
2. 为用户绑定虚拟MFA设备。具体操作请参见为IAM用户绑定MFA设备。
检查是否存在访问密钥异常操作。

检查访问密钥是否存在异常操作行为，并排查是否有其他疑似泄露的访问密钥。

检查方式：
1. 在CTS控制台的事件列表中，过滤筛选“操作用户”为疑似泄露访问密钥的用户，查看是否有异常操作行为。
2. 除检查已知存在泄露风险的访问密钥之外，还需进一步排查是否还有其他IAM用户和访问密钥存在异常操作行为。若发现异常行为，建议与对应人员确认操作是否由本人执行。若排查发现存在疑似泄露风险，建议按以下方式处理：
  - 疑似泄露的IAM用户如需继续使用，建议立即修改IAM用户密码并开启登录保护。
  - 疑似泄露的IAM用户如果为非正常创建或闲置，可先将其禁用，确认对业务无影响后再进行删除。
  - 如果访问密钥存在异常操作，参照上述方法先缩减权限后再进行轮转。
检查是否存在异常费用。

若在费用中心检查发现存在异常费用和账单，请结合上述操作实施防护措施。