Неправильная настройка IAM (облако).

Ошибки настройки облачного IAM возникают, когда политики, роли, доверительные отношения или permission boundaries дают больше доступа, чем нужно нагрузке. Типичные проблемы — подстановочные знаки в Action или Resource ("*"), роли, которые может принять любой аккаунт, долгоживущие ключи доступа, отсутствие MFA у привилегированных пользователей, неиспользуемые, но активные сервисные учётки и цепочки AssumeRole, ведущие к эскалации привилегий. Поскольку IAM — это управляющая плоскость облака, ошибка в нём часто превращает мелкий баг в полный захват аккаунта или утечку данных. Меры защиты: проектирование по принципу минимальных привилегий, IAM Access Analyzer и инструменты CIEM, permission boundaries, SCP/management groups, краткосрочные учётные данные через STS или workload identity federation, постоянный мониторинг эффективных прав против фактического использования.