当IAM建议显示未使用服务帐户的角色时，为什么我会收到身份验证事件？ - 腾讯云开发者社区 - 腾讯云

开发者社区

文档建议反馈控制台

文章/答案/技术大牛

发布

浅谈云上攻防系列——云IAM原理&风险以及最佳实践

与之类似，云上身份和访问管理服务，则是云厂商提供的一种用于帮助用户安全地控制对云上资源访问的服务。用户可以使用 IAM 来控制身份验证以及授权使用相应的资源。...用户日常使用云上服务时，往往会接触到到云平台所提供的账号管理功能，角色管理、临时凭据、二次验证等等，这些都是云上身份与访问管理的一部分。...在此期间，如果有一个权限策略包含拒绝的操作，则直接拒绝整个请求并停止评估。 Step 4：当请求通过身份验证以及授权校验后，IAM服务将允许进行请求中的操作（Action）。...据调查报告显示，约有44%的企业机构的IAM密码存在重复使用情况；53%的云端账户使用弱密码；99%的云端用户、角色、服务和资源被授予过多的权限，而这些权限最终并没有被使用；大多数云用户喜欢使用云平台内置...监控IAM事件：通过审计IAM日志记录来确定账户中进行了哪些操作，以及使用了哪些资源。日志文件会显示操作的时间和日期、操作的源 IP、哪些操作因权限不足而失败等。

3.5K4 1

每周云安全资讯-2022年第31周

1 对Kubernetes 的 AWS IAM Authenticator的身份验证利用在这篇博文将介绍在 AWS IAM Authenticator 中检测到的三个漏洞，所有这些漏洞都是由同一代码行引起的...为什么云存储服务是网络钓鱼攻击的主要目标威胁参与者正在寻找利用基于云的在线存储服务的方法，使用社会工程技术渗透组织并部署恶意软件 https://www.itprotoday.com/attacks-and-breaches...身份池（联合身份）允许经过身份验证和未经身份验证的用户使用临时凭证访问 AWS 资源。...11 Kubernetes 安全：左移策略和简化管理据云原生计算基金会的一项调查显示，69% 的企业已经在生产中使用 Kubernetes。...这种日益流行的趋势仅意味着组织应该已经开始关注将 K8s 集成到其运营中的网络安全影响。然而，当威胁行为者将目光投向 K8s 时，仅仅了解基础知识是不够的。

1.6K4 0

您找到你想要的搜索结果了吗？

是的

没有找到

从 Azure AD 到 Active Directory（通过 Azure）——意外的攻击路径

Acme IT 根据强化建议锁定了 DC，并将 Azure 管理限制在托管 DC 的 VM 上。Acme 在 Azure 的服务器上托管了其他敏感应用程序。...如果尝试从订阅角色中删除帐户，则会出现以下消息，因为它必须在根级别删除。当帐户将提升访问权限从是切换到否时，它会自动从用户访问管理员中删除。...或者 GA 会话令牌被盗，因为 GA 在其常规用户工作站上使用其 Web 浏览器（已被盗用）。 2. 攻击者使用此帐户进行身份验证，并利用帐户权限创建另一个用于攻击的帐户或使用受感染的帐户。...为什么这个问题很重要？客户通常不期望 Office 365 全局管理员能够通过翻转帐户上的选项（在所有位置的目录属性下）来控制 Azure 角色成员身份。...当我通过 Azure AD 到 Azure 访问提升时，我试图确定一个我可以发出警报但无法发出警报的明确事件。

3.8K1 0

2024年构建稳健IAM策略的10大要点

让我们来看看组织面临的一些常见IAM挑战和实现可靠IAM策略的建议。 1. 组建身份团队软件首先关注人。在启动现代身份和访问管理或刷新现有实现时，首先组建一个具有以下四个关键角色的团队。...每个成员都应该是战略思考者，理想情况下拥有一些IAM知识或经验。这些不是全职角色。而是把他们看作是在提出解决方案时需要通知的人。...授权服务器使您可以为用户提供多种登录方式。这使您可以向用户呈现额外的选项，例如使用外部身份提供商或数字钱包进行登录。在需要时，您应该能够使用授权服务器的SDK实现定制的身份验证方法和屏幕。...在更改用户的身份验证方法时，关键是API继续在访问令牌中接收现有的用户标识，以便正确更新业务数据。始终解析登录到同一用户帐户的过程称为帐户链接，这也是授权服务器提供的另一项功能。 8....实现必须使用可靠的错误处理和日志记录，以便应用程序能够弹性地处理过期和配置错误。另外，要考虑可见性和控制。合规利益相关者可能希望查看经过审核的身份事件，授权服务器应该发布这些事件。

6581 0

单点登录SSO的身份账户不一致漏洞

同时建议终端用户应该意识到电子邮件地址重用的存在，并比以前更加谨慎地使用 SSO 身份验证。...组织可以进一步使用 IAM 系统进行电子邮件和身份管理。电子邮件提供商提供电子邮件和身份服务，以便用户可以使用 SSO 对 SP 提供的帐户进行身份验证。...当用户请求对在线帐户进行 SSO 身份验证时，就会出现不一致，因为电子邮件地址更改仅在 IdP 服务器内部发生，而 SP 并不知道该修改。...请注意，不同的系统在处理不一致时可能有不同的实现。图片上图显示了帐户识别方法的详细过程。当 SP 从受信任的 IdP 收到用户身份时，SP 会尝试识别与给定身份相关联的现有帐户。...措施2：当一个身份被安排删除时，终端用户应删除所有关联的帐户并删除在身份删除日期之前存储的所有私人数据。

2.3K3 1

云安全的11个挑战及应对策略

根据云安全联盟(CSA)指南，这源于以下原因：不正确的凭证保护; 缺乏自动的加密密钥、密码和证书轮换; IAM可扩展性挑战; 缺少多因素身份验证; 弱密码。...执行库存、跟踪、监视和管理所需的大量云计算帐户的方法包括：设置和取消配置问题、僵尸帐户、过多的管理员帐户和绕过身份和访问管理(IAM)控制的用户，以及定义角色和特权所面临的挑战。...作为客户的责任，云安全联盟(CSA)的建议如下：使用双因素身份验证; 对云计算用户和身份实施严格的身份和访问管理(IAM)控制; 轮换密钥、删除未使用的凭据和访问权限，并采用集中式编程密钥管理。...作为云计算服务提供商(CSP)和客户的责任，云安全联盟(CSA)的建议如下：记住帐户劫持不仅仅是密码重置; 使用纵深防御、身份和访问管理(IAM)控件。...云安全联盟(CSA)建议云计算服务提供商(CSP)努力通过事件响应框架来检测和缓解这种攻击。云计算服务提供商(CSP)还应该提供客户可以用来监视云计算工作负载和应用程序的工具和控制。

2.3K1 0

从Wiz Cluster Games 挑战赛漫谈K8s集群安全

节点的IAM角色名称的约定模式为：[集群名称]- 节点组-节点实例角色解题思路本关开始，我们的服务帐户的权限为空，无法列出pod、secret的名称以及详细信息： root@wiz-eks-challenge...信任策略允许一个特定的OIDC提供者使用“AssumeRoleWithWebIdentity”权限来扮演这个IAM角色，当且仅当OIDC token的"aud"（）字段等于"sts.amazonaws.com...安全思考:从集群服务移动到云账户风险 IRSA（IAM roles for service accounts）具有使用户能够将 IAM 角色关联至 Kubernetes 服务账户的功能。...其精髓在于采用 Kubernetes 的服务账户令牌卷投影特性，确保引用 IAM 角色的服务账户 Pod 在启动时访问 AWS IAM 的公共 OIDC 发现端点。...当使用 AWS SDK 调用 AWS API 时，系统会执行 sts:AssumeRoleWithWebIdentity，同时会自动将 Kubernetes 颁发的令牌转换为 AWS 角色凭证。

1.3K1 0

【Manning新书】云计算安全指南：以AWS为例

来源：专知本文为书籍介绍，建议阅读5分钟当您面临任何云安全问题时，您将需要一本AWS安全服务指南。当您面临任何云安全问题时，您将需要一本AWS安全服务指南。...它从核心服务中的最佳实践开始，然后转移到更一般的主题，如威胁检测和事件响应。...最后，本文将使用从本书中学到的技能来演示一个示例应用程序: 第一章讨论了共同责任模型，描述了AWS为你做了什么，以及你自己必须做什么。本文还介绍了几个关键的安全服务，以及它们为什么对您的组织很重要。...第二章深入介绍了身份和访问管理(IAM)，介绍了角色、策略以及管理AWS权限的所有其他组成部分。...第九章着眼于如何运行持续监控您的帐户潜在的安全问题。第十章讨论事件响应计划和发布补救措施。第十一章描述了一个示例应用程序，确定了该应用程序最有可能的威胁，然后详细说明了如何补救这些威胁。

4911 0

重新思考云原生身份和访问

IAM 中有很多众所周知但仍然常见的陷阱。例如，IAM 授予的权限往往过于宽泛，在帐户或项目级别授予权限，而不是在资源级别授予权限。有时授予的能力过于宽泛，可能是由于内置策略过于粗糙。...在多个服务中重复使用工作负载标识等行为也是不允许的，因为当三个不同的东西使用同一服务并且其中任何一个需要与新东西通信时，您最终会使用该标识向所有三个服务授予该能力。将 IAM 视为锁（又名互斥锁）。...您希望在持有这些权限时最大程度地减少您所做的工作量。微服务允许您使用一个针对该服务的良好受限接口提取需要某些权限的功能。...当我们在资源周围创建服务抽象时，我们在这些资源周围设置激光网格，对我们的审计进行编码，以便在任何实体尝试访问数据时收到警报，这与 99.9% 的预期访问不同。...我们正处于平台工程的一个有趣时刻，微服务实现的隔离、OpenID Connect 和其他身份验证机制的成熟以及平台团队创建新的封装层的能力正在融合在一起。

4671 0

Azure AD（四）知识补充-服务主体

这样便可实现核心功能，如在登录时对用户/应用程序进行身份验证，在访问资源时进行授权。当应用程序被授予了对租户中资源的访问权限时（根据注册或许可），将创建一个服务主体对象。...3，使用Azure CLI创建Azure服务主体（示例）使用 az ad sp create-for-rbac 命令创建服务主体。创建服务主体时，请选择其使用的登录身份验证的类型。...选择=》Azure Active Directory 点击 “App registrations” 同时，我们可以在当前订阅下的 “IAM”中找到对应的角色访问权限信息。...这种访问受到分配给服务主体的角色的限制，使您可以控制可以访问哪些资源以及可以访问哪个级别。出于安全原因，始终建议将服务主体与自动化工具一起使用，而不是允许他们使用用户身份登录。...该角色具有读取和写入Azure帐户的完整权限参考资料：RBAC内置角色：https://docs.microsoft.com/en-us/azure/role-based-access-control

2.2K2 0

Netflix的DevSecOps最佳实践

例如使用标准的身份验证库不仅得到了安全加固，而且易于调试和使用，也有出色的日志记录功能，并为开发人员（和安全团队）提供了有关登录角色的标注数据，甚至为使用者可以得到安全技术背后开发团队的双份技术支持。...应用安全风险大盘以部门维度列出出哪些提供外网访问服务的实例显示应用已采用的安全控制措施，如SSO、使用了mTLS进行传输层加密和加密存储机制，以及是否填写了安全问卷(Zoltar) 应用风险评分机制...当开发者填写问卷时，他们会得到针对他们所使用的语言和框架的更定制的安全建议，这使得开发团队能够专注于能够真正降低风险的事情，一切自助化。 ?...目的是业务可以更方便的接入安全服务，和更快验证是否使用安全控件，以及发现未知角落的资产。当然最大的用处是在出现安全事件时，更快地定位到责任人。...有两个最佳实践：异常模型攻击者一般会使用自动化的枚举脚本爆破，尝试调用aws提供的各个特权api，借助于后端的审计，一旦访问一个未使用的服务，安全团队就会得到警报。

2.1K2 0

Fortify软件安全内容 2023 更新 1

：未使用的字段 – Java lambda 中的误报减少Dockerfile 配置错误：依赖关系混淆 – 使用本地库定义时误报减少在布尔变量上报告数据流问题时，在所有受支持的语言中跨多个类别删除误报通过...应用程序中使用 Random 和 SplittableRandom 类时减少了误报不安全存储：未指定的钥匙串访问策略、不安全存储：外部可用钥匙串和不安全存储：密码策略未强制执行 – 应用建议的补救措施时...对象时误报减少SOQL 注入和访问控制：数据库 – 在 Salesforce Apex 应用程序中使用 getQueryLocator（）时减少了误报类别更改当弱点类别名称发生更改时，将以前的扫描与新扫描合并时的分析结果将导致添加...使用用户输入轮询数据调用方法proc_open时传递 poller_id 参数。由于此值未清理，因此攻击者能够在目标计算机上执行命令。...不良做法：共享服务帐户凭据Kubernetes 配置错误：共享服务帐户凭据Kubernetes 不良做法：静态身份验证令牌Kubernetes 配置错误：静态身份验证令牌Kubernetes 不良做法

10.6K3 0

快速提升Entra ID安全性的实用指南

这也允许应用程序充当其他实体并使用它们被授予的权限。当至少有一个应用程序是Tier 0时，此应用程序权限是Tier 0。然后此权限提供应用程序向该应用程序添加凭据并模拟它的能力。...MFA为用户配置的每用户MFA的MFA风险登录的MFA和重新身份验证关键条件访问策略要求具有管理角色的帐户使用MFA（最好是FIDO2）阻止旧身份验证（用户名和密码身份验证）按地理位置阻止位置阻止设备代码流...当合作伙伴请求访问客户环境时提供。当客户接受此请求时：合作伙伴租户中的"管理代理"角色被提供对客户租户的有效"全局管理员"权限。...Azure AD无缝SSO计算机帐户密码不会更改保护无缝单点登录（SSSO）对于Windows 10、Windows Server 2016及更高版本，建议通过主刷新令牌（PRT）使用SSO。...推送（服务帐户和服务主体除外）。

1821 0

译 | 在 App Service 上禁用 Basic 认证

在编写本文时，相应的CLI命令集正在开发中。 FTP 要禁用对站点的FTP访问，请运行以下CLI命令。将占位符替换为您的资源组和站点名称。...打开Azure门户打开您要在其中创建自定义角色的订阅在左侧导航面板上，单击访问控制（IAM）单击+添加，然后单击下拉列表中的添加自定义角色提供角色的名称和说明。...这将打开一个页面，以选择所需的日志类型以及日志的目的地。可以将日志发送到Log Analytics，存储帐户或事件中心。...下面显示了示例存储帐户日志。...使用Azure Policy，可以定义 JSON 格式的策略来更改或拒绝创建 Azure 服务。

2.5K2 0

云开发API连接器的最佳练习

下表显示了一些领先的云服务提供商和平台的API支持。...例如，使用AWS Identity and Access Management（IAM）时，我们可能已经成功通过身份验证，但是我们只能执行我们在IAM中授权的操作。...引用云平台/服务可通过用户的帐户使用的资源增加限额。最好先了解配额限制。例如，AWS将帐户弹性IP的分配限制为5。但是，这可以通过提出请求来增加。...当您必须轮询或重试API请求时，我们建议使用指数退避算法计算API调用之间的休眠时间间隔。指数退避背后的思想是在连续错误响应的重试之间逐渐使用更长的等待时间。...一些云服务提供商/平台为每个要使用的服务开设不同的端点。建议使用API端点维护一个服务目录，以确保使用正确的服务目录。有时端点根据云平台或服务的子帐户而有所不同。

5.3K8 0

Google Workspace全域委派功能的关键安全问题剖析

服务帐户是GCP中的一种特殊类型帐户，代表非人类实体，例如应用程序或虚拟机。服务账户将允许这些应用程序进行身份验证并于Google API交互。...在使用全域委派功能时，应用程序可以代表Google Workspace域中的用户执行操作，且无需单个用户对应用程序进行身份验证和授权。...比如说，如果授权范围仅是/auth/gmail.readonly，则服务帐户在代表用户执行操作时将有权读取用户的Gmail邮件该用户的数据，但不包括其其他工作区数据，例如对云端硬盘中文件的访问权限； 2...Header，并代表服务帐户充当身份验证和授权的证明。...全域委派存在的安全风险和影响一旦将全域委派权限授予了GCP服务账户，具有必要权限的GCP角色就可以为委派用户生成访问令牌，恶意内部攻击者或窃取到凭证数据的外部攻击者将能够使用此访问令牌来冒充 Google

1.7K1 0

RSAC 2024创新沙盒｜P0 Security的云访问治理平台

这一点最明显的莫过于一个惊人的统计数据：2022 年，70% 的云安全事件都与 IAM 配置错误有关，可见保护IAM身份在公司基础设施安全方面比以往任何时候都更加重要[5]。...其他供应商（CIEM、CSPM、DSPM）提供了大量嘈杂的警报，安全团队对使用他们的建议来管理访问权限犹豫不决，这可能会影响开发人员的工作流程，或关闭生产服务[6]。...这种批准和时效性有效的阻断的长时间不使用的角色带来的安全风险。即P0能够更好的管理组织内部对云资源的需求。...图5 P0 Security 即时申请策略部署方式 P0 Security的部署方式非常简单，按其官网提供的操作文档部署即可，需要注意的是用户可选是否在IAM中注入P0 Securiy的角色，用以创建用户的临时性使用角色等其它操作...图7 P0 Security IAM风险分析使用建议如图8所示，P0 Security提供免费的受限使用版本，如果您的公司规模不大，且使用单一云提供的服务，毋需升级到专业版。

4941 0

Windows日志取证

- * 19 Windows安装更新记录 - * 41 系统未正常关机/系统停止运行 - * 1074 关闭电源（关机）/重启 - * 1100 事件记录服务已关闭 1101 审计事件已被运输中断...预身份验证失败 4772 Kerberos身份验证票证请求失败 4773 Kerberos服务票证请求失败 4774 已映射帐户以进行登录 4775 无法映射帐户以进行登录 4776 域控制器尝试验证帐户的凭据...使用DES或RC4进行Kerberos预身份验证失败，因为该帐户是受保护用户组的成员 4825 用户被拒绝访问远程桌面。...无法启动IPsec服务 5484 IPsec服务遇到严重故障并已关闭 5485 IPsec服务无法在网络接口的即插即用事件上处理某些IPsec筛选器 5632 已请求对无线网络进行身份验证 5633...，网络策略服务器锁定了用户帐户 6280 网络策略服务器解锁了用户帐户 6281 代码完整性确定图像文件的页面哈希值无效... 6400 BranchCache：在发现内容可用性时收到格式错误的响应

5.1K4 0

Windows日志取证

- * 19 Windows安装更新记录 - * 41 系统未正常关机/系统停止运行 - * 1074 关闭电源（关机）/重启 - * 1100 事件记录服务已关闭 1101 审计事件已被运输中断...预身份验证失败 4772 Kerberos身份验证票证请求失败 4773 Kerberos服务票证请求失败 4774 已映射帐户以进行登录 4775 无法映射帐户以进行登录 4776 域控制器尝试验证帐户的凭据...使用DES或RC4进行Kerberos预身份验证失败，因为该帐户是受保护用户组的成员 4825 用户被拒绝访问远程桌面。...无法启动IPsec服务 5484 IPsec服务遇到严重故障并已关闭 5485 IPsec服务无法在网络接口的即插即用事件上处理某些IPsec筛选器 5632 已请求对无线网络进行身份验证 5633...，网络策略服务器锁定了用户帐户 6280 网络策略服务器解锁了用户帐户 6281 代码完整性确定图像文件的页面哈希值无效... 6400 BranchCache：在发现内容可用性时收到格式错误的响应

4.2K1 1

Kubernetes安全态势管理(KSPM)指南

限制外部访问、保护身份验证和使用基于角色的访问控制 (RBAC) 等措施是至关重要的第一步。...理想情况下，您可以在需要时启动堡垒，然后在不需要时将其关闭，以最大程度地减少其暴露。行：使用云提供商服务来促进安全连接。...例如，AWS 客户可以使用系统管理器 (SSM) 连接到集群中的节点，而无需公共 IP。这使用 AWS 的 IAM 服务来处理身份验证和授权。...爬：限制对组的特权访问。这是 RBAC 的精髓；特权访问仅限于需要它的人员。走：让特权访问组的成员养成使用较低权限帐户的习惯，除非他们需要较高的权限。这要求他们使用更高级别的帐户重新进行身份验证。...爬：当您的管道获得批准并且您合并到主管道时，运行一个简单的“helm upgrade”作业。

7111 0

点击加载更多

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭