兼容的 archive,用为 Lambda 预先编译的版本替换所有依赖项,设置功能处理程序和必要的 WSGI 中间件,然后上传 archive 到 S3,创建和管理必要的Amazon IAM 策略和角色 :通过提供要返回的修订版本数将部署的代码回滚到以前的版本。 # 回滚到3年前部署的版本 $ zappa rollback production -n 3 安排 function 定期执行:修改 zappa_setting.json ,加入如下内容: { $ zappa schedule dev # cancal $ zappa unschedule dev 取消部署:如果要删除以前发布的 API Gateway 和 Lambda function, Creating demo-dev-ZappaLambdaExecutionRole IAM Role.. Error: Failed to manage IAM roles!
,他们似乎忘记在此端点上实施权限检查,我们已经设法使用权限非常有限的用户(“编辑”角色)将“编辑”组移动到“管理员”下。 我们在上一篇文章中展示了如何获得 RCE,但我们实际利用的第一件事是这个 SSRF。很明显,这个 SSRF 以前被利用过,现在他们已经采取了一些缓解措施。 SSRF 设计 我们使用了 Burp Suite 的 Collaborator 有效负载,我们立即收到了回调: 收到回调 AWS 实例元数据被阻止,哦不! 使用 DNS 重新绑定获取 AWS IAM 角色 我们获得了实例使用的 AWS IAM 角色: AWS IAM 角色 来自实例元数据的 AWS IAM 密钥 这个故事的寓意是,总是有更多的技巧可以尝试 中毒密码重置链接 这是将发送给用户的电子邮件: 带有中毒链接的电子邮件 缓解措施 SSRF 和 PrivEsc 漏洞已在去年底的 8.5.7 和 9.0.1 版本中修复。您应该升级到最新版本。
提供包括云服务器,云数据库在内的90+款云计算产品。打造一站式的云产品试用服务,助力开发者和企业零门槛上云。
如果组织中只有少数开发人员,这可能是可以管理的。但是,在有成百上千名员工的地方会发生什么呢?即使只有一名员工更改角色,IAM团队也将花费大量不必要的时间来解除和重新分配权限。 我们通过将PBAC(基于策略的访问控制)实现为一个集中式服务,来重新思考和重新设计身份和访问管理(IAM)架构。这种架构改变,允许组织改善他们的安全态势,降低风险并变得更加敏捷。 下面是一些可以作为IAM如何现代化的介绍的摘录。 在这些摘录之后,我们将讨论如何通过应用PBAC来实现IAM现代化。 这是一个应用程序,它可以将授权决策完全外部化并委托给一个策略引擎,该策略引擎可以做出基于会话的动态、细粒度访问决策。 在场内、在云中、或基于移动的实现,都是受支持的。 PBAC方法简化了授权,因此可以使用图数据库决策引擎,将数千个角色、属性甚至环境因素,转换为少量的逻辑智能授权策略。
下图将展示IAM的配置阶段与操作阶段之间的关系,以及身份与访问管理的区别。 在此期间,如果有一个权限策略包含拒绝的操作,则直接拒绝整个请求并停止评估。 Step 4:当请求通过身份验证以及授权校验后,IAM服务将允许进行请求中的操作(Action)。 应使用IAM功能,创建子账号或角色,并授权相应的管理权限。 使用角色委派权:使用IAM创建单独的角色用于特定的工作任务,并为角色配置对应的权限策略。 遵循最小权限原则:在使用 IAM为用户或角色创建策略时,应遵循授予”最小权限”安全原则,仅授予执行任务所需的权限。 未来我们将持续关注云IAM安全问题,并给出对应的安全建议与解决方案。
换句话说,我们可以使用一个或者一组策略来描述角色、用户和用户组。于是,定义策略是使用IAM的基础。后续的实操将带大家进行一次IAM配置之旅。 4 实操 沿用上面的例子,我们对各个概念进行配置演示。 4.2.1.1 AWS托管的 AWS IAM托管了大量其自己管理FullAccess策略,但是都是针对单个服务的。比如上图中圈中的部分。 4.4.1 创建用户组 4.4.1.1 起名 以前端组为例,我们创建一个组叫做WebRD。 4.5 角色 阿拉Software公司的代码审查工具是部署在EC2(虚拟机)上,我们就需要在IAM中新建一个角色——CodeCheckRole。让这些EC2属于这些角色,进而拥有一些权限。 4.5.3 附加角色 在创建EC2实例时,我们在“IAM instance profile”中选择上述创建的角色。
该工具支持检测下列IAM对象中的错误配置: 管理策略(Managed Policies) 用户内联策略(Users Inline Policies) 组内联策略(Groups Inline Policies ) 角色内联策略(Groups Inline Policies) 运行机制 针对应用于组的决绝策略,AWS IAM评估逻辑的工作方式与大多数安全工程师用于其他授权机制的工作方式不同。 ::123456789999:group/managers" } ] } 在上面这个例子中,这个策略将会拒绝用户、组或策略绑定的任何角色执行任意IAM活动。 但实际上,类似iam:ChangePassword这种简单的IAM操作是可以正常执行的,因此上述的拒绝策略将失效。 安全检测 AWS IAM在用户对象操作和组对象操作之间有明确的区分。 以下列表包括工具正在扫描的影响组的拒绝策略上的用户对象操作(除通配符外): AWS_USER_ACTIONS = ["iam:CreateUser", "iam
通常role,该部分将替换为iamRoleStatements允许无服务器与其自己的整体IAM角色合并的自定义策略的部分。 IAM_ROLE将需要创建EC2实例策略,并且API_URL两者都将使用它test.js并向infer.js的API Gateway端点进行调用。 创建的最终资源是自定义IAM角色,该功能将由所有功能使用,并且无服务器文档提供了一个很好的起点模板。 IAM —获取,创建角色并将其添加到实例配置文件。从控制台启动EC2实例并选择IAM角色时,会自动创建此配置文件,但是需要在功能内手动执行此操作。 如果触发器或规则被禁用,它将不会触发您的Lambda。 对于预测方面,可以像以前一样手动进行测试,或者扩展测试功能策略以包括推断。 ? 准备就绪后,现在可以部署到“生产”阶段。
但是当我们将应用程序跑在 Kubernetes 集群上的时候,这会带来一些其他问题。 这意味着我们的 Job 将无法挂载 Chart 创建的ConfigMap 资源。 部署策略和回滚 默认情况下,Kubernetes Deployment 默认更新策略是滚动更新。这意味着在部署过程中,将有 Pod 同时运行应用程序的上一个和新版本。 这将要求所有的迁移至少要向后兼容以前的版本。 如果你需要使用 helm rollback 命令回滚到应用程序的以前版本,你重新部署的版本的迁移任务也会再次运行。 在回滚期间试图向下迁移到以前版本的数据库结构,很可能会导致现有的 Pods 运行失败。最后,如果你必须回滚到一个更老的版本,你需要确保当前的数据库结构与你计划回滚到的版本向后兼容。
与AWS托管策略相比,客户托管策略通常提供更精确的控制。 •内联策略,由AWS客户创建并嵌入在身份和访问管理(IAM)标识(用户、组或角色)中。当最初创建或稍后添加身份时,可以将它们嵌入标识中。 步骤2:分析身份和访问管理(IAM)组 下一步是检查用户所属的每个身份和访问管理(IAM)组。这些还具有附加策略,可以间接授予用户访问其他资源的权限。 就像用户本身一样,组可以附加到托管策略和内联策略。 步骤3:映射身份和访问管理(IAM)角色 现在,所有附加到用户的身份和访问管理(IAM)角色都需要映射。 角色是另一种类型的标识,可以使用授予特定权限的关联策略在组织的AWS帐户中创建。它类似于身份和访问管理(IAM)用户,但其角色可以分配给需要其权限的任何人,而不是与某个人唯一关联。 版权声明:本文为企业网D1Net编译,转载需注明出处为:企业网D1Net,如果不注明出处,企业网D1Net将保留追究其法律责任的权利。
(后续技巧篇详细描述) 二、回滚文件到某个提交 当我们想要把某个文件任意的回滚到某次提交上,而不改变其他文件的状态我们要怎么做呢? 我们有两种情况,一种是,只是想在工作区有修改的文件,直接丢弃掉他现在的修改;第二种是想把这个文件回滚到以前的某一次提交。我们先来说第一种 1. 取消文件在工作区的修改 ? ? 将文件回滚到任意的版本 我们这里说的把文件回滚到以前的某个版本的状态,完整的含义是保持其他文件的内容不变,改变这个文件到以前的某个版本,然后修改到自己满意的样子和做下一次的提交。 版本3,time.txt内容10:41 ? 现在的是版本1,我们把版本3检出试试。达到下图的状态 ? ? 小小小小结 取出暂存区的文件:git reset -- 文件名 取消这次在工作区的修改: git checkout -- 文件名 把文件回滚到以前的某个版本的状态:git checkout+commit
实践中的Spinnaker 使用Spinnaker,可以构建由阶段组成的灵活管道,以按所需方式交付软件。可以有一个“部署”阶段,该阶段使用“蓝/绿”策略将零停机时间编排为新基础架构的创建和清理。 在Spinnaker之前,许多团队无法在其部署管道中使用金丝雀版本,因为太麻烦了,无法与他们的旧金丝雀系统集成。 其中一个示例是如何为每个应用程序自动创建身份和访问管理(IAM)角色,并使用这些角色来限制谁可以在AWS中做什么,从而为每个团队提供完成工作所需的权限。 对于每个云更改操作,都会与AWS进行检查,以了解该应用名称是否存在IAM角色;如果没有,将与安全服务联系以查看是否应创建一个。 如果需要创建角色,会将该安全服务与所需信息一起调用,以确保成功创建IAM角色。 通过此设置,可以轻松控制启动每个实例的IAM配置文件,同时将IAM功能的实质内容留给安全团队。
而对于EKS则需要同时了解和配置IAM和Kubernetes RBAC,就是基于角色的访问控制。IAM负责将权限分配到AWS服务,而RBAC负责控制资源的权限。 另外,通过 Amazon EKS 集群上服务账户 (service account)的 IAM 角色,您可以将 IAM 角色与 Kubernetes 服务账户关联。 然后,此服务账户就能够为使用它的任何一个 Pod 中的容器提供 AWS 权限。您可以将 IAM 权限范围限定到服务账户,并且只有使用该服务账户的 Pod 可以访问这些权限。 其次,我们看一下平台安全。 Calico是EKS官方文档中介绍的一种主流的方式。 ? 一种既可以分配EC2实例级IAM角色,又可以完全信任基于安全组的方式,是为不同的Pod使用不同的工作节点集群,甚至是完全独立的集群。 对于EKS来讲,Kubernetes的更新也是一个很重要的话题。通常,Kubernetes每个季度都有一个新的主要版本,同时也会定期发布新的次要版本,有时Kubernetes更新与安全性相关。
了解身份和访问管理(IAM)控件 以全球最流行的AWS云平台为例,该平台提供了可用的最精细身份和访问管理(IAM)系统之一。 毫不奇怪,这种控制程度为开发人员和DevOps团队带来了相同(可能有人说更高)的复杂程度。 在AWS云平台中,其角色作为机器身份。需要授予特定于应用程序的权限,并将访问策略附加到相关角色。 这些可以是由云计算服务提供商(CSP)创建的托管策略,也可以是由AWS云平台客户创建的内联策略。 担任角色 可以被分配多个访问策略或为多个应用程序服务的角色,使“最小权限”的旅程更具挑战性。 一旦完成,如何正确确定角色的大小?是否用内联策略替换托管策略?是否编辑现有的内联策略?是否制定自己的新政策? (2)两个应用程序–单一角色:两个不同的应用程序共享同一角色。 云中的最小权限 最后需要记住,只涉及原生AWS IAM访问控制。将访问权限映射到资源时,还需要考虑几个其他问题,其中包括间接访问或应用程序级别的访问。
为了实现这个功能,我们需要拥有至少下列权限之一: 从Bucket下载一个已知文件的权限(s3:getObject); 枚举Bucket内容列表的权限(s3:ListBucket); 除此之外,你还需要一个角色 role/s3_read my-bucket # 或者提供一个指定的源配置文件进行查询 s3-account-search --profile source_profile arn:aws:iam::123456789012 :role/s3_read s3://my-bucket 工具运行机制 S3中有一个IAM策略条件-s3:ResourceAccount,这个条件用来给指定账号提供目标S3的访问权,但同时也支持通配符 通过构建正确的模式,我们就可以查看哪些模式将导致拒绝访问或允许访问,这样就能够找出目标账号ID了。 编辑toml并更新版本号; 提交版本号; 运行下列命令: poetry publish --build 推送至GitHub; 在GitHub上创建一个新的Release; 项目地址 https:
本篇将一步步介绍如何将sck-demo整个项目部署到本地kubernetes,包括镜像升级、让服务可通过浏览器访问、回滚版本,以及调整minikube虚拟机的内存大小。 将jar包构建为镜像 将项目打包,然后构建镜像,构建镜像时应该打上tag,标志着每个镜像的版本号,启动一个服务也应该明确地指定镜像的版本,而不是使用默认latest。 ,能够看出每个版本都做了什么,能够判断需要回滚到哪个版本。 : kubectl rollout history deployment sck-demo-provider --namespace=default 回滚到某个版本: kubectl rollout 如上图所示,回滚成功后,版本10就更新成新的版本号了。
建议还没出现BSOD问题的用户按照以下详细步骤回滚过程,“回滚到以前比较好的内容修订版本,以防止BSOD情况” 。 1.点击 “政策”; 2.选择“查看策略”; 3.单击“ LiveUpdate”; 4.在“ LiveUpdate内容”选项卡下,双击当前的“LiveUpdate内容策略”,将显示“ LiveUpdate 内容策略概述”对话框; 5.在“ LiveUpdate内容”部分中,单击“ 安全性定义”; 6.启用“防病毒和防间谍软件定义”部分中的“ 选择版本”选项; 7.单击“编辑”按钮。 出现“ 选择修订-防病毒和防间谍软件定义”对话框; 8.展开下拉列表,然后浏览到适当的(32位或64位)定义集; 9.单击所需的回滚定义日期; 10.单击“ 确定 ”; 11.单击“ 确定 ”关闭“安全定义 ”对话框,并返回到“策略”选项卡。
有些企业还会将组织机构、角色甚至业务功能权限数据也一并归入IAM系统管理。 session)策略,来保持客户端和服务端的会话。 (C)用户授权后,认证中心根据之前网关注册时提供的回调地址,引导浏览器重定向回到网关。重定向URI包含授权码 (D)网关通过包含上一步中收到的授权码和网关自身凭证从授权服务器IAM的请求访问令牌。 方案二中IAM颁发的令牌中包含部分客户端或用户信息,使用JWT加密,IAM将验证方式或SDK提供给了负责认证的网关。对于IAM来说,减少了每次请求令牌认证带来的通信次数,减轻了IAM的压力。 如典型的三员管理,采用三权分立、互相制约的思路,包含系统管理员、安全管理员、安全审计员三个角色,互相能看到对方的信息,将业务过程分成不同的段,每段由对应人员负责,不让任何人掌控全局。
云原生安全 1 这个开源工具防止错误配置乱入K8s 生产环境 本文介绍开源工具Datree,通过管理策略来防止 K8s 工作负载和SaaS 平台的错误配置 https://mp.weixin.qq.com 4 种方法 在过去的两年里,随着业务大规模迁移到云端,是否采取了必要的行动来保护数据安全? / 6 Fluent Operator:云原生日志管理的一把瑞士军刀 随着云原生技术的快速发展,对于日志采集、处理及转发提出了更高的要求。 9 利用、检测和纠正 IAM 安全错误配置 本文介绍三种IAM 常见安全配置错误场景:允许创建新策略版本、修改角色信任策略以及创建具有角色传递的 EC2 实例。 研究如何避免和检测IAM 安全漏洞的方法 https://www.admin-magazine.com/Articles/Exploiting-detecting-and-correcting-IAM-security-misconfigurations
Deployment 简述 Deployment 为 Pod 和 ReplicaSet 提供了一个声明式定义 (declarative) 方法,用来替代以前的 ReplicationController 这会创建一个新的 ReplicaSet,Deployment 会按照控制的速率将 pod 从旧的 ReplicaSet 移动到新的 ReplicaSet 中。 如果当前状态不稳定,回滚到之前的 Deployment revision。每次回滚都会更新 Deployment 的 revision。 扩容 Deployment 以满足更高的负载。 yaml 名词解释: apiVersion: apps/v1 # 指定api版本,此值必须在kubectl api-versions中 kind: Deployment # 指定创建资源的角色 ,此值必须在kubectl api-versions中 kind: Service # 指定创建资源的角色/类型 metadata: # 资源的元数据/属性 name: demo # 资源的名字
1 对Kubernetes 的 AWS IAM Authenticator的身份验证利用 在这篇博文将介绍在 AWS IAM Authenticator 中检测到的三个漏洞,所有这些漏洞都是由同一代码行引起的 ,关于在AWS EC2实例中使用错误配置、公开允许的IAM策略和应用程序安全漏洞getshell https://mp.weixin.qq.com/s/rI72ir5B52FmNTDC526LxA 3 攻击面管理解决方案可能成为大型企业的首要投资项目 https://mp.weixin.qq.com/s/et5gzhOt1uQjCw6RJ7hFoQ 7 无处不在的 AWS IAM 角色,无处不在的 此功能允许 AWS 账户之外的工作负载在您的 AWS 账户中担任角色并访问 AWS 资源。 这种日益流行的趋势仅意味着组织应该已经开始关注将 K8s 集成到其运营中的网络安全影响。然而,当威胁行为者将目光投向 K8s 时,仅仅了解基础知识是不够的。
数据开发治理平台 WeData是位于云端的一站式数据开发治理平台,融合了包含数据集成、数据开发、任务运维的全链路DataOps数据开发能力,以及数据地图、数据质量、数据安全等一系列数据治理和运营能力,帮助企业在数据构建和应用的过程中实现降本增效,数据价值最大化。
扫码关注腾讯云开发者
领取腾讯云代金券
云服务器
云数据库 PostgreSQL
文件存储
命令行工具
SSL 证书
