IAM 配置错误(云)

Q: IAM 配置错误(云) 是什么?

云端身份与访问管理的不安全或过度授权设置,使用户、角色或服务获得超出实际需要的权限。 它属于网络安全的 云安全 分类。

审核人Florian AmetteCybersecurity entrepreneur & security researcher

IAM 配置错误(云) 是什么?

IAM 配置错误(云)云端身份与访问管理的不安全或过度授权设置,使用户、角色或服务获得超出实际需要的权限。

云 IAM 配置错误发生在策略、角色、信任关系或权限边界授予了超出工作负载所需访问权限的时候。常见问题包括:Action 或 Resource 中使用通配符("*"),可被任意账户承担的角色,长期有效的访问密钥,特权用户未启用 MFA,未使用却仍然有效的服务账号,以及可被链式承担、导致权限提升的角色。由于 IAM 是云的控制面,一个 IAM 错误往往会把一个原本影响有限的漏洞放大为账户完全失陷或数据泄露。防护手段包括最小权限设计、IAM Access Analyzer 与 CIEM 工具、权限边界、SCP/管理组、通过 STS 或工作负载身份联合获得短期凭据,以及对“有效权限 vs 实际使用”的持续监控。

● 示例

01
EC2 实例角色具有 Action: "*" 与 Resource: "*" 的权限。
02
AssumeRole 的信任策略允许 arn:aws:iam::*:root 作为 Principal。

● 常见问题

IAM 配置错误(云) 是什么?

云端身份与访问管理的不安全或过度授权设置,使用户、角色或服务获得超出实际需要的权限。它属于网络安全的云安全分类。

IAM 配置错误(云) 是什么意思?

云端身份与访问管理的不安全或过度授权设置,使用户、角色或服务获得超出实际需要的权限。

如何防御 IAM 配置错误(云)?

针对 IAM 配置错误(云) 的防御通常结合技术控制与运营实践,详见上方完整定义。

IAM 配置错误(云) 还有哪些其他名称?

常见的别称包括: 过度授权 IAM, 云端权限过大。

IAM 配置错误(云)