大家好,我是小悟。
腾讯云发布公告,宣布从2025年6月30日开始,对长期未使用的AccessKey(API访问密钥)进行自动禁用。
简单来说,如果你的密钥在90天内没动静,系统就会把它关掉,不管是你自己的主账号密钥,还是子用户的密钥,只要符合条件,都会被处理。
为什么腾讯云要这么干?
AccessKey相当于云服务的"身份证"+"密码",用来验证身份并调用API。但如果密钥长期不用,就容易变成"僵尸密钥"。
放着不管,万一泄露了,攻击者可能趁机搞事情,比如偷偷调用API消耗资源,甚至搞数据泄露。腾讯云这波操作,本质上是在帮用户提前"排雷",减少安全隐患。
哪些密钥会被禁用?
90天没登录:最近一次使用密钥调用API的时间超过90天。
从来没用过:创建后压根没调用过任何API。
主账号和子用户都一样:不区分身份,只要符合条件,全部自动禁用。
系统会分批处理,预计15个工作日内完成,每天凌晨00:00还会自动检测新增的"僵尸密钥"并禁用。
腾讯云也提前两周通过短信、邮件和站内信通知用户,避免突然被禁用导致业务出问题。
被禁了怎么办?
如果密钥被禁用,但你还想用,有两个选择:
直接新建密钥:旧的被禁了,重新生成一个,把新密钥配置到程序里就行。
找管理员重新启用:如果确定还要用旧密钥,可以登录CAM(访问管理)后台手动恢复。
不过,腾讯云特别建议不要长期依赖主账号的AccessKey,因为主账号权限太大,一旦泄露风险极高。
最好用子用户密钥,并遵循最小权限原则,需要什么权限就给什么权限,避免"一锅端"式的权限管理。
怎么看这波操作?
从安全角度看,腾讯云这波挺合理。密钥长期不用还躺那儿,就像家里的钥匙插在门上忘了拔,迟早出事。自动禁用能督促用户定期检查密钥,减少"僵尸密钥"堆积的风险。
但对用户来说,可能得提前梳理一下密钥使用情况,避免业务突然卡壳。尤其是那些自动化脚本、定时任务依赖的密钥,得确保它们在有效期内被调用,不然可能被误伤。
另外,腾讯云从2023年11月30日起就关闭了主账号、子账号密钥SecretKey的查询功能,仅支持在创建时查看。
这次又强制清理长期未使用的密钥,明显是在推动更安全的密钥管理方式。说白了,安全这事儿,不能全靠平台兜底,用户自己也得上心。
总结
6月30日开始,腾讯云会自动禁用90天未使用的AccessKey。如果你有长期不用的密钥,赶紧检查一下,要么重新启用,要么换新密钥。安全不是小事,别等出了问题才后悔。
刷一道面试题
Java的ThreadLocal的原理是什么,使用场景有哪些?
谢谢你看我的文章,既然看到这里了,如果觉得不错,随手点个赞、转发、在看三连吧,感谢感谢。那我们,下次再见。
您的一键三连,是我更新的最大动力,谢谢
山水有相逢,来日皆可期,谢谢阅读,我们再会
我手中的金箍棒,上能通天,下能探海