展开

关键词

上线 Python 应用仅需一条命令开源框架:Zappa(详细教程)

兼容 archive,用为 Lambda 预先编译版本替换所有依赖项,设置功能处理程序和必要 WSGI 中间件,然后上传 archive 到 S3,创建和管理必要Amazon IAM 策略角色 :通过提供要返回修订版本部署代码滚到以前版本。 # 滚到3年前部署版本 $ zappa rollback production -n 3 安排 function 定期执行:修改 zappa_setting.json ,加入如下内容: { $ zappa schedule dev # cancal $ zappa unschedule dev 取消部署:如果要删除以前发布 API Gateway 和 Lambda function, Creating demo-dev-ZappaLambdaExecutionRole IAM Role.. Error: Failed to manage IAM roles!

29220

Concrete CMS 漏洞

,他们似乎忘记在此端点上实施权限检查,我们已经设法使用权限非常有限用户(“编辑”角色“编辑”组移动到“管理员”下。 我们在上一篇文章中展示了如何获得 RCE,但我们实际利用第一件事是这个 SSRF。很明显,这个 SSRF 以前被利用过,现在他们已经采取了一些缓解措施。 SSRF 设计 我们使用了 Burp Suite Collaborator 有效负载,我们立即收到了调: 收到调 AWS 实例元数据被阻止,哦不! 使用 DNS 重新绑定获取 AWS IAM 角色 我们获得了实例使用 AWS IAM 角色: AWS IAM 角色 来自实例元数据 AWS IAM 密钥 这个故事寓意是,总是有更多技巧可以尝试 中毒密码重置链接 这是发送给用户电子邮件: 带有中毒链接电子邮件 缓解措施 SSRF 和 PrivEsc 漏洞已在去年底 8.5.7 和 9.0.1 版本中修复。您应该升级到最新版本

22840
  • 广告
    关闭

    90+款云产品免费体验

    提供包括云服务器,云数据库在内的90+款云计算产品。打造一站式的云产品试用服务,助力开发者和企业零门槛上云。

  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    网络安全架构 | IAM(身份访问与管理)架构现代化

    如果组织中只有少数开发人员,这可能是可以管理。但是,在有成百上千名员工地方会发生什么呢?即使只有一名员工更改角色IAM团队也花费大量不必要时间来解除和重新分配权限。 我们通过PBAC(基于策略访问控制)实现为一个集中式服务,来重新思考和重新设计身份和访问管理(IAM)架构。这种架构改变,允许组织改善他们安全态势,降低风险并变得更加敏捷。 下面是一些可以作为IAM如何现代化介绍摘录。 在这些摘录之后,我们讨论如何通过应用PBAC来实现IAM现代化。 这是一个应用程序,它可以授权决策完全外部化并委托给一个策略引擎,该策略引擎可以做出基于会话动态、细粒度访问决策。 在场内、在云中、或基于移动实现,都是受支持。 PBAC方法简化了授权,因此可以使用图数据库决策引擎,数千个角色、属性甚至环境因素,转换为少量逻辑智能授权策略

    1.8K20

    浅谈云上攻防系列——云IAM原理&风险以及最佳实践

    下图展示IAM配置阶段与操作阶段之间关系,以及身份与访问管理区别。 在此期间,如果有一个权限策略包含拒绝操作,则直接拒绝整个请求并停止评估。 Step 4:当请求通过身份验证以及授权校验后,IAM服务允许进行请求中操作(Action)。 应使用IAM功能,创建子账号或角色,并授权相应管理权限。 使用角色委派权:使用IAM创建单独角色用于特定工作任务,并为角色配置对应权限策略。 遵循最小权限原则:在使用 IAM为用户或角色创建策略时,应遵循授予”最小权限”安全原则,仅授予执行任务所需权限。 未来我们持续关注云IAM安全问题,并给出对应安全建议与解决方案。

    10640

    AWS攻略——一文看懂AWS IAM设计和使用

    换句话说,我们可以使用一个或者一组策略来描述角色、用户和用户组。于是,定义策略是使用IAM基础。后续实操将带大家进行一次IAM配置之旅。 4 实操 沿用上面的例子,我们对各个概念进行配置演示。 4.2.1.1 AWS托管 AWS IAM托管了大量其自己管理FullAccess策略,但是都是针对单个服务。比如上图中圈中部分。 4.4.1 创建用户组 4.4.1.1 起名 以前端组为例,我们创建一个组叫做WebRD。 4.5 角色 阿拉Software公司代码审查工具是部署在EC2(虚拟机)上,我们就需要在IAM中新建一个角色——CodeCheckRole。让这些EC2属于这些角色,进而拥有一些权限。 4.5.3 附加角色 在创建EC2实例时,我们在“IAM instance profile”中选择上述创建角色

    2710

    使用Red-Shadow扫描AWS IAM安全漏洞

    该工具支持检测下列IAM对象中错误配置: 管理策略(Managed Policies) 用户内联策略(Users Inline Policies) 组内联策略(Groups Inline Policies ) 角色内联策略(Groups Inline Policies) 运行机制 针对应用于组决绝策略,AWS IAM评估逻辑工作方式与大多数安全工程师用于其他授权机制工作方式不同。 ::123456789999:group/managers" } ] } 在上面这个例子中,这个策略将会拒绝用户、组或策略绑定任何角色执行任意IAM活动。 但实际上,类似iam:ChangePassword这种简单IAM操作是可以正常执行,因此上述拒绝策略失效。 安全检测 AWS IAM在用户对象操作和组对象操作之间有明确区分。 以下列表包括工具正在扫描影响组拒绝策略用户对象操作(除通配符外): AWS_USER_ACTIONS = ["iam:CreateUser", "iam

    24030

    具有EC2自动训练无服务器TensorFlow工作流程

    通常role,该部分替换为iamRoleStatements允许无服务器与其自己整体IAM角色合并自定义策略部分。 IAM_ROLE需要创建EC2实例策略,并且API_URL两者都将使用它test.js并向infer.jsAPI Gateway端点进行调用。 创建最终资源是自定义IAM角色,该功能将由所有功能使用,并且无服务器文档提供了一个很好起点模板。 IAM —获取,创建角色并将其添加到实例配置文件。从控制台启动EC2实例并选择IAM角色时,会自动创建此配置文件,但是需要在功能内手动执行此操作。 如果触发器或规则被禁用,它将不会触发您Lambda。 对于预测方面,可以像以前一样手动进行测试,或者扩展测试功能策略以包括推断。 ? 准备就绪后,现在可以部署到“生产”阶段。

    43110

    在 Kubernetes 中使用 Helm Hooks 迁移数据库

    但是当我们应用程序跑在 Kubernetes 集群上时候,这会带来一些其他问题。 这意味着我们 Job 无法挂载 Chart 创建ConfigMap 资源。 部署策略滚 默认情况下,Kubernetes Deployment 默认更新策略是滚动更新。这意味着在部署过程中,将有 Pod 同时运行应用程序上一个和新版本。 这将要求所有的迁移至少要向后兼容以前版本。 如果你需要使用 helm rollback 命令滚到应用程序以前版本,你重新部署版本迁移任务也会再次运行。 在滚期间试图向下迁移到以前版本数据库结构,很可能会导致现有的 Pods 运行失败。最后,如果你必须滚到一个更老版本,你需要确保当前数据库结构与你计划回滚到版本向后兼容。

    55831

    避免顶级云访问风险7个步骤

    与AWS托管策略相比,客户托管策略通常提供更精确控制。 •内联策略,由AWS客户创建并嵌入在身份和访问管理(IAM)标识(用户、组或角色)中。当最初创建或稍后添加身份时,可以将它们嵌入标识中。 步骤2:分析身份和访问管理(IAM)组 下一步是检查用户所属每个身份和访问管理(IAM)组。这些还具有附加策略,可以间接授予用户访问其他资源权限。 就像用户本身一样,组可以附加到托管策略和内联策略。 步骤3:映射身份和访问管理(IAM)角色 现在,所有附加到用户身份和访问管理(IAM)角色都需要映射。 角色是另一种类型标识,可以使用授予特定权限关联策略在组织AWS帐户中创建。它类似于身份和访问管理(IAM)用户,但其角色可以分配给需要其权限任何人,而不是与某个人唯一关联。 版权声明:本文为企业网D1Net编译,转载需注明出处为:企业网D1Net,如果不注明出处,企业网D1Net保留追究其法律责任权利。

    11810

    撤销暂存文件与任意切换文件版本-每天三分钟玩转Git (7)

    (后续技巧篇详细描述) 二、滚文件到某个提交 当我们想要把某个文件任意滚到某次提交上,而不改变其他文件状态我们要怎么做呢? 我们有两种情况,一种是,只是想在工作区有修改文件,直接丢弃掉他现在修改;第二种是想把这个文件滚到以前某一次提交。我们先来说第一种 1. 取消文件在工作区修改 ? ? 文件滚到任意版本 我们这里说把文件滚到以前某个版本状态,完整含义是保持其他文件内容不变,改变这个文件到以前某个版本,然后修改到自己满意样子和做下一次提交。 版本3,time.txt内容10:41 ? 现在版本1,我们把版本3检出试试。达到下图状态 ? ? 小小小小结 取出暂存区文件:git reset -- 文件名 取消这次在工作区修改: git checkout -- 文件名 把文件滚到以前某个版本状态:git checkout+commit

    17310

    为什么Spinnaker对CI CD至关重要[DevOps]

    实践中Spinnaker 使用Spinnaker,可以构建由阶段组成灵活管道,以按所需方式交付软件。可以有一个“部署”阶段,该阶段使用“蓝/绿”策略零停机时间编排为新基础架构创建和清理。 在Spinnaker之前,许多团队无法在其部署管道中使用金丝雀版本,因为太麻烦了,无法与他们旧金丝雀系统集成。 其中一个示例是如何为每个应用程序自动创建身份和访问管理(IAM角色,并使用这些角色来限制谁可以在AWS中做什么,从而为每个团队提供完成工作所需权限。 对于每个云更改操作,都会与AWS进行检查,以了解该应用名称是否存在IAM角色;如果没有,将与安全服务联系以查看是否应创建一个。 如果需要创建角色,会将该安全服务与所需信息一起调用,以确保成功创建IAM角色。 通过此设置,可以轻松控制启动每个实例IAM配置文件,同时IAM功能实质内容留给安全团队。

    853151

    AWS 容器服务安全实践

    而对于EKS则需要同时了解和配置IAM和Kubernetes RBAC,就是基于角色访问控制。IAM负责权限分配到AWS服务,而RBAC负责控制资源权限。 另外,通过 Amazon EKS 集群上服务账户 (service account) IAM 角色,您可以 IAM 角色与 Kubernetes 服务账户关联。 然后,此服务账户就能够为使用它任何一个 Pod 中容器提供 AWS 权限。您可以 IAM 权限范围限定到服务账户,并且只有使用该服务账户 Pod 可以访问这些权限。 其次,我们看一下平台安全。 Calico是EKS官方文档中介绍一种主流方式。 ? 一种既可以分配EC2实例级IAM角色,又可以完全信任基于安全组方式,是为不同Pod使用不同工作节点集群,甚至是完全独立集群。 对于EKS来讲,Kubernetes更新也是一个很重要的话题。通常,Kubernetes每个季度都有一个新主要版本,同时也会定期发布新次要版本,有时Kubernetes更新与安全性相关。

    31420

    怎么在云中实现最小权限?

    了解身份和访问管理(IAM)控件 以全球最流行AWS云平台为例,该平台提供了可用最精细身份和访问管理(IAM)系统之一。 毫不奇怪,这种控制程度为开发人员和DevOps团队带来了相同(可能有人说更高)复杂程度。 在AWS云平台中,其角色作为机器身份。需要授予特定于应用程序权限,并将访问策略附加到相关角色。 这些可以是由云计算服务提供商(CSP)创建托管策略,也可以是由AWS云平台客户创建内联策略。 担任角色 可以被分配多个访问策略或为多个应用程序服务角色,使“最小权限”旅程更具挑战性。 一旦完成,如何正确确定角色大小?是否用内联策略替换托管策略?是否编辑现有的内联策略?是否制定自己新政策? (2)两个应用程序–单一角色:两个不同应用程序共享同一角色。 云中最小权限 最后需要记住,只涉及原生AWS IAM访问控制。访问权限映射到资源时,还需要考虑几个其他问题,其中包括间接访问或应用程序级别的访问。

    26200

    如何查找目标S3 Bucket属于哪一个账号ID

    为了实现这个功能,我们需要拥有至少下列权限之一: 从Bucket下载一个已知文件权限(s3:getObject); 枚举Bucket内容列表权限(s3:ListBucket); 除此之外,你还需要一个角色 role/s3_read my-bucket # 或者提供一个指定源配置文件进行查询 s3-account-search --profile source_profile arn:aws:iam::123456789012 :role/s3_read s3://my-bucket 工具运行机制 S3中有一个IAM策略条件-s3:ResourceAccount,这个条件用来给指定账号提供目标S3访问权,但同时也支持通配符 通过构建正确模式,我们就可以查看哪些模式导致拒绝访问或允许访问,这样就能够找出目标账号ID了。 编辑toml并更新版本号; 提交版本号; 运行下列命令: poetry publish --build 推送至GitHub; 在GitHub上创建一个新Release; 项目地址 https:

    18630

    分布式项目sck-demo部署到本地kubernetes,以及实现版本升级和

    本篇一步步介绍如何sck-demo整个项目部署到本地kubernetes,包括镜像升级、让服务可通过浏览器访问、版本,以及调整minikube虚拟机内存大小。 jar包构建为镜像 项目打包,然后构建镜像,构建镜像时应该打上tag,标志着每个镜像版本号,启动一个服务也应该明确地指定镜像版本,而不是使用默认latest。 ,能够看出每个版本都做了什么,能够判断需要回滚到哪个版本。 : kubectl rollout history deployment sck-demo-provider --namespace=default 滚到某个版本: kubectl rollout 如上图所示,滚成功后,版本10就更新成新版本号了。

    40740

    蓝屏死机又回来了,赛门铁克修复IPS错误代码

    建议还没出现BSOD问题用户按照以下详细步骤滚过程,“滚到以前比较好内容修订版本,以防止BSOD情况” 。 1.点击 “政策”; 2.选择“查看策略”; 3.单击“ LiveUpdate”; 4.在“ LiveUpdate内容”选项卡下,双击当前“LiveUpdate内容策略”,显示“ LiveUpdate 内容策略概述”对话框; 5.在“ LiveUpdate内容”部分中,单击“ 安全性定义”; 6.启用“防病毒和防间谍软件定义”部分中“ 选择版本”选项; 7.单击“编辑”按钮。 出现“ 选择修订-防病毒和防间谍软件定义”对话框; 8.展开下拉列表,然后浏览到适当(32位或64位)定义集; 9.单击所需滚定义日期; 10.单击“ 确定 ”; 11.单击“ 确定 ”关闭“安全定义 ”对话框,并返回到“策略”选项卡。

    52220

    从五个方面入手,保障微服务应用安全

    有些企业还会将组织机构、角色甚至业务功能权限数据也一并归入IAM系统管理。 session)策略,来保持客户端和服务端会话。 (C)用户授权后,认证中心根据之前网关注册时提供调地址,引导浏览器重定向回到网关。重定向URI包含授权码 (D)网关通过包含上一步中收到授权码和网关自身凭证从授权服务器IAM请求访问令牌。 方案二中IAM颁发令牌中包含部分客户端或用户信息,使用JWT加密,IAM验证方式或SDK提供给了负责认证网关。对于IAM来说,减少了每次请求令牌认证带来通信次数,减轻了IAM压力。 如典型三员管理,采用三权分立、互相制约思路,包含系统管理员、安全管理员、安全审计员三个角色,互相能看到对方信息,业务过程分成不同段,每段由对应人员负责,不让任何人掌控全局。

    49920

    每周云安全资讯-2022年第17周

    云原生安全 1 这个开源工具防止错误配置乱入K8s 生产环境 本文介绍开源工具Datree,通过管理策略来防止 K8s 工作负载和SaaS 平台错误配置 https://mp.weixin.qq.com 4 种方法 在过去两年里,随着业务大规模迁移到云端,是否采取了必要行动来保护数据安全? / 6 Fluent Operator:云原生日志管理一把瑞士军刀 随着云原生技术快速发展,对于日志采集、处理及转发提出了更高要求。 9 利用、检测和纠正 IAM 安全错误配置 本文介绍三种IAM 常见安全配置错误场景:允许创建新策略版本、修改角色信任策略以及创建具有角色传递 EC2 实例。 研究如何避免和检测IAM 安全漏洞方法 https://www.admin-magazine.com/Articles/Exploiting-detecting-and-correcting-IAM-security-misconfigurations

    15620

    K8s Deployment YAML 名词解释

    Deployment 简述 Deployment 为 Pod 和 ReplicaSet 提供了一个声明式定义 (declarative) 方法,用来替代以前 ReplicationController 这会创建一个新 ReplicaSet,Deployment 会按照控制速率 pod 从旧 ReplicaSet 移动到新 ReplicaSet 中。 如果当前状态不稳定,滚到之前 Deployment revision。每次回滚都会更新 Deployment revision。 扩容 Deployment 以满足更高负载。 yaml 名词解释: apiVersion: apps/v1 # 指定api版本,此值必须在kubectl api-versions中 kind: Deployment # 指定创建资源角色 ,此值必须在kubectl api-versions中 kind: Service # 指定创建资源角色/类型 metadata: # 资源元数据/属性 name: demo # 资源名字

    30920

    每周云安全资讯-2022年第31周

    1 对Kubernetes AWS IAM Authenticator身份验证利用 在这篇博文介绍在 AWS IAM Authenticator 中检测到三个漏洞,所有这些漏洞都是由同一代码行引起 ,关于在AWS EC2实例中使用错误配置、公开允许IAM策略和应用程序安全漏洞getshell https://mp.weixin.qq.com/s/rI72ir5B52FmNTDC526LxA 3 攻击面管理解决方案可能成为大型企业首要投资项目 https://mp.weixin.qq.com/s/et5gzhOt1uQjCw6RJ7hFoQ 7 无处不在 AWS IAM 角色,无处不在 此功能允许 AWS 账户之外工作负载在您 AWS 账户中担任角色并访问 AWS 资源。 这种日益流行趋势仅意味着组织应该已经开始关注 K8s 集成到其运营中网络安全影响。然而,当威胁行为者目光投向 K8s 时,仅仅了解基础知识是不够

    7740

    相关产品

    • 数据开发治理平台 WeData

      数据开发治理平台 WeData

      数据开发治理平台 WeData是位于云端的一站式数据开发治理平台,融合了包含数据集成、数据开发、任务运维的全链路DataOps数据开发能力,以及数据地图、数据质量、数据安全等一系列数据治理和运营能力,帮助企业在数据构建和应用的过程中实现降本增效,数据价值最大化。

    相关资讯

    热门标签

    活动推荐

    扫码关注腾讯云开发者

    领取腾讯云代金券