开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

轮换IAM用户访问密钥

是指定期更换IAM用户的访问密钥，以增加账户的安全性。IAM（Identity and Access Management）是一种云计算服务，用于管理和控制云资源的访问权限。

轮换IAM用户访问密钥的主要目的是减少密钥泄露的风险。即使IAM用户的访问密钥意外泄露或被恶意获取，定期更换密钥可以降低潜在的安全威胁。通过定期轮换密钥，可以防止未经授权的访问和数据泄露。

优势：

提高账户的安全性：定期更换访问密钥可以减少密钥泄露的风险，增加账户的安全性。
防止未经授权的访问：通过轮换密钥，可以防止未经授权的用户或恶意攻击者使用旧的密钥访问云资源。
降低数据泄露的风险：定期更换密钥可以减少数据泄露的风险，保护敏感信息的安全性。

应用场景：

企业云环境：在企业云环境中，轮换IAM用户访问密钥可以帮助保护企业的云资源和敏感数据。
开发团队：对于开发团队来说，定期更换访问密钥可以降低因为密钥泄露导致的安全风险。

推荐的腾讯云相关产品：腾讯云提供了一系列与IAM用户访问密钥相关的产品和服务，包括：

腾讯云访问管理（CAM）：腾讯云的身份和访问管理服务，用于管理和控制用户对云资源的访问权限。
腾讯云密钥管理系统（KMS）：腾讯云的密钥管理服务，用于生成、存储和管理加密密钥，可以用于保护访问密钥的安全性。

更多关于腾讯云访问管理和密钥管理系统的信息，您可以访问以下链接：

腾讯云访问管理（CAM）：https://cloud.tencent.com/product/cam
腾讯云密钥管理系统（KMS）：https://cloud.tencent.com/product/kms

相关搜索:如何轮换IAM用户访问密钥如何仅轮换iam用户访问密钥而不轮换其密钥密钥轮换使用IAM用户访问密钥从外部位置访问S3 CKAN API密钥轮换 IAM访问密钥权限是否覆盖IAM角色中的显式拒绝？Google Cloud KMS中的密钥轮换如何确定编程访问用户使用的确切IAM用户权限具有管理员权限的IAM用户可以使用未在其密钥策略中将此用户添加为密钥用户的密钥加密EBS卷 Spring访问日志按天轮换 IAM角色vs. IAM用户无法调用Cognito ListUsers 如何检查GCP中每个密钥环中的每个密钥是否启用了密钥轮换？IBM IAM API密钥身份验证错误如何使用IAM角色而不是访问密钥和密钥来访问Kubernetes pod的亚马逊S3存储桶？使用Pulumi not working将IAM托管策略附加到IAM用户限制IAM用户可以创建的“用户”数量列出iam用户的可选模块？授予IAM用户对一个RDS实例的访问权限 IAM策略不授予访问访问点的权限找不到用户访问密钥库凭据的日志

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

浅谈云上攻防系列——云IAM原理&风险以及最佳实践

云上身份和访问管理功能简介身份和访问管理是什么？关于这个问题，Gartner Information Technology Glossary中给出了关于IAM的定义：“Identity and access management (IAM) is the discipline that enables the right individuals to access the right resources at the right times for the right reasons”。与之类似，云上身份

04

跟着大公司学数据安全架构之AWS和Google

近年来数据泄漏的事件层出不穷，网上可以搜到大量的数据泄漏新闻。从业者也都明白，数据泄漏只是一个结果，而原因有很多种，可能是一个越权漏洞，也可能是一个弱口令，有N种可能都会导致泄漏。传统的数据安全保障体系为什么没能有效遏制数据泄漏？是方法论出错了，还是执行不到位？带着这个问题，笔者研究了两家云服务厂商，试图从框架上寻找可借鉴的地方。结论是，有可借鉴的地方，但仍然不足以保证数据安全。

01

云安全的11个挑战及应对策略

组织将其业务迁移到云端之前，需要了解可能面临的云安全挑战，以及如何应对这些挑战。云安全联盟日前发布的一份名为“令人震惊的云计算的11个最大威胁”的报告，其中详细说明了这些威胁以及确定是谁的责任，并提供了帮助组织实施云计算安全保护的步骤。

01

云原生应用安全性：解锁云上数据的保护之道

随着云原生应用在现代软件开发中的广泛应用，数据的安全性和保护变得至关重要。云原生应用的设计和架构带来了许多独特的挑战，但也提供了新的机会来改进数据的安全性。本文将探讨云原生应用安全性的问题，提供解决方案和最佳实践，并分析如何解锁云上数据的保护之道。

01

全解Google（谷歌）基础设施架构安全设计

谷歌的技术基础设施共同构建了搜索、邮件（Gmail)、照片等普通用户系统和G Suite 、谷歌云存储平台等企业系统，是谷歌数据中心的关键，是整个谷歌网络服务赖以存在的安全基础。 FreeBuf在原文基础上，针对谷歌技术基础设施的安全设计作了简要分析与介绍，这些技术基础设施为谷歌全球信息系统提供了一系列安全防护，它们包括运行安全服务、终端用户数据安全存储、服务安全通信、用户安全通信和运维安全管理等。在介绍中，我们将围绕谷歌数据中心的物理安全、整体软硬件基础安全、技术限制和操作的运维安全进行逐层描述。

05

CircleCI 20230104 安全事件报告

2023 年 1 月 4 日，我们提醒客户[6] 一起安全事件。今天，我们想与您分享发生的事情、我们学到的知识以及我们未来不断改善安全态势的计划。

02

深入了解IAM和访问控制

本文为InfoQ中文站特供稿件，首发地址为：http://www.infoq.com/cn/articles/aws-iam-dive-in。访问控制，换句话说，谁能在什么情况下访问哪些资源或者操作，是绝大部分应用程序需要仔细斟酌的问题。作为一个志存高远的云服务提供者，AWS自然也在访问控制上下了很大的力气，一步步完善，才有了今日的 IAM：Identity and Access Management。如果你要想能够游刃有余地使用AWS的各种服务，在安全上的纰漏尽可能地少，那么，首先需要先深入了

08

idou老师教你学istio：如何为服务提供安全防护能力

将单体应用程序分解为一个个服务，为大型软件系统的开发和维护带来了诸多好处，比如更好的灵活性、可伸缩性和可复用性。但这也带来了一些安全问题：

05

RSAC 2024创新沙盒｜Aembit：面向IAM的云工作负载访问控制平台

Aembit成立于2021年，总部位于美国华盛顿，该公司致力于云工作负载IAM（身份识别和访问管理）领域，旨在实现云工作负载和云服务间的访问自动化、安全可控，以降低人力管理成本。目前，Aembit团队规模约为10-50人，两位联合创始人分别是David Goldschlag（CEO）和Kevin Sapp（CTO）。

01

Fortify软件安全内容 2023 更新 1

Fortify 软件安全研究团队将前沿研究转化为安全情报，为 Fortify 产品组合提供支持，包括 Fortify 静态代码分析器（SCA）和 Fortify WebInspect。如今，Fortify 软件安全内容支持 30 种语言的 1，399 个漏洞类别，涵盖超过 100 万个单独的 API。

03

如何防止机密信息渗入代码

机密信息经常出现在已发布的代码中，从而使所有者面临安全风险。这些机密信息包括密码、API 密钥、加密密钥、令牌、数据库凭据和其他私有公司信息。

01

利用s3fs 将 s3 bucket 挂

S3fs是基于FUSE的文件系统，允许Linux和Mac Os X挂载S3的存储桶在本地文件系统，S3fs能够保持对象原来的格式。关于s3fs-fuse的功能、使用方法、下载可参考：https://github.com/s3fs-fuse/s3fs-fuse

01

走好这三步，不再掉进云上安全的沟里！

一直以来，公有云安全是横亘在广大用户面前的一道鸿沟。云安全（Cloud Security）是指用于控制云计算的安全性、合规性和其他使用风险的过程、机制和服务。公有云提供商们都强调安全是其最高优先级工作，动辄就发布上百页的云上安全最佳实践白皮书，举办几百几千人安全大会，发布几十甚至上百个安全服务。但与此同时，用户们对云上安全的担心一直挥之不去。在福布斯（Forbes）2019年的一份报告中，66%的IT从业人员认为安全是他们使用公有云服务最大的担心。Gartner预测到2020年，至少50%的企业用户会在不知情或误操作地将一些IAAS存储服务、网络、应用或API直接暴露到互联网上，而到2023年，至少99%的云上安全问题都是用户的错误引起的。

02

NVIDIA Jetson结合AWS视频流播放服务

手机、监控摄像机、无人机、网络摄像头、行车记录仪甚至卫星都可以产生高强度、高质量的视频流。它们将在洪水和其他自然灾害之后调查财产、提高公共安全，让您知道您的孩子安然无恙、收集有助于识别和解决交通问题的数据等。至少可以说，处理大量的视频数据是具有挑战性的。流包含宝贵的实时数据，以在更合适的时间处理。在您获得原始数据后，其他的挑战就会出现，比如提取价值 – 深入探究内容、了解内容的含义并加快行动——这是下一个重要步骤。

03

云环境中的横向移动技术与场景剖析

本文将对云端环境中的横向移动技术和相关场景进行深入分析和研究，并给大家展示研究人员在云环境中观察到的一些威胁行为。云端环境中的横向移动可以通过利用云API和对计算实例的访问来实现，而云端级别的访问可能会扩展到后者。

01

对印度某电子商务公司从LFI到数据库获取的渗透测试过程

本文分享的是作者在渗透测试过程中，通过不同漏洞的组合利用，最终拿下印度某大型电子商务公司数据库权限。（文章已经相关公司许可发布）。

05

安全云数据湖仓一体的 10 个关键

在云中启用数据和分析可以让您拥有无限的规模和无限的可能性，以更快地获得洞察力并利用数据做出更好的决策。数据湖仓一体越来越受欢迎，因为它为您的所有企业数据提供了一个单一平台，并且可以灵活地运行任何分析和机器学习 (ML) 用例。与云数据湖和云数据仓库相比，云数据湖提供了显着的可扩展性、敏捷性和成本优势。

01

Britive: 即时跨多云访问

翻译自 Britive: Just-in-Time Access across Multiple Clouds 。

01

MySQL静态数据加密和企业版TDE

MySQL支持静态数据加密。静态数据加密的目的是为了防止保存在磁盘上的文件被非法盗用，使用该功能可以确保数据库的表空间，日志等文件即使是被盗用，也无法读取里面的敏感数据。

04

【翻译】研究表明--保护公共AWS SSM文件的必要性

AWS系统管理器通过创建SSM文档在AWS资源上自动执行操作任务。以JSON或YAML创建的SSM文档包含AWS系统管理器将在云资产上执行的操作。默认情况下，SSM文档是私有的，但可以配置为与其他AWS账户共享或公开共享。AWS提供了共享SSM文档的最佳实践。

02

如何hack和保护Kubernetes

Kubernetes是一种宝贵的资源，也是全球开发流程中领先的容器管理系统，但它也不能免受恶意攻击。使用 Kubernetes 需要深入了解 Kubernetes 环境，包括在集群中创建、部署或运行应用程序时可能遇到的不同漏洞。

03

无需等到2077年，这些方法就可以实现DID后量子安全

作者：Dr. Carsten Stöcker (Spherity GmbH), Dr. Samuel M. Smith (ProSapien LLC)；共同作者（编辑）：Dr. Juan Caballero (Spherity GmbH)

01

AWS教程—解决网站加载缓慢的难题

谁不喜欢免费的东西？谁不想网站访问更快呢？让我们试一试。借助亚马逊云技术的CloudFront CDN服务提供的免费套餐，通过简单的配置，加速你的WordPress网站。

04

使用Red-Shadow扫描AWS IAM中的安全漏洞

Red-Shadow是一款功能强大的AWS IAM漏洞扫描工具，该工具可以帮助你扫描AWS IAM中的错误配置与安全漏洞。

03

【应用安全】什么是身份和访问管理 (IAM)？

身份和访问管理 (IAM) 是一个安全框架，可帮助组织识别网络用户并控制其职责和访问权限，以及授予或拒绝权限的场景。IAM 通常指的是授权和身份验证功能，例如：

01

通过Kyverno使用KMS、Cosign和工作负载身份验证容器镜像

随着软件供应链攻击的增加，保护我们的软件供应链变得更加重要。此外，在过去几年中，容器的采用也有所增加。有鉴于此，对容器镜像进行签名以帮助防止供应链攻击的需求日益增长。此外，我们今天使用的大多数容器，即使我们在生产环境中使用它们，也容易受到供应链攻击。在传统的 CI/CD 工作流中，我们构建镜像并将其推入注册中心。供应链安全的一个重要部分是我们构建的镜像的完整性，这意味着我们必须确保我们构建的镜像没有被篡改，这意味着保证我们从注册中心中提取的镜像与我们将要部署到生产系统中的镜像相同。证明镜像没有被篡改的最简单和最好的方法之一（多亏了 Sigstore）是在构建之后立即签名，并在允许它们部署到生产系统之前验证它。这就是 Cosign 和 Kyverno 发挥作用的地方。

02

Evernote云端迁移 – 基于Google 云平台用户数据保护

编辑手记：安全永远是第一重要的问题，无论是在本地还是在云端。我们的安全团队的宗旨在于保护用户的数据。当我们开始实施将数据迁移到云Google的云服务的基础设施上时，我们一直在思考，如何在迁移的整个过程中保障数据的安全。考虑的方面主要包含以下几点：当我们向Google表示了信任，选择他们作为我们数据保管人，他们是否有足够的成熟的安全控制措施，不会对我们的服务增加风险？ GCP是否给予我们跟现有环境相当或更好的安全控制，以便我们用来保护客户数据？与供应商建立信任我们有一个内部供应商审核流程，包括我们的

TXSQL企业级特性揭秘：加密与审计

TXSQL是腾讯基础架构部数据库团队自研的MySQL分支，对腾讯云以及众多的内部业务提供了强大的数据库内核支撑。相比原生的MySQL，TXSQL在BINLOG复制和InnoDB存储引擎方面做了很多的优化，另外在Server层面也做了大量的工作。因此TXSQL拥有更好的性能，更好的稳定性和可维护性，以及更多的企业级特性。本文将对加密和审计这两个企业级特性进行详细的解读。

03

新的云威胁！黑客利用云技术窃取数据和源代码

据BleepingComputer消息，一个被称为 "SCARLETEEL "的高级黑客行动正针对面向公众的网络应用，其主要手段是渗透到云服务中以窃取敏感数据。网络安全情报公司Sysdig在应对某客户的云环境事件时发现了SCARLETEEL。虽然攻击者在受感染的云环境中部署了加密器，但在AWS云机制方面表现出更专业的技术，进一步钻入该公司的云基础设施。 Sysdig认为，加密劫持攻击仅仅是一个诱饵，而攻击者的目的是窃取专利软件。 SCARLETEEL攻击 SCARLETEEL攻击开始时，黑客利用了

02

AWS Key disabler：AWS IAM用户访问密钥安全保护工具

AWS Key disabler是一款功能强大的AWS IAM用户访问密钥安全保护工具，该工具可以通过设置一个时间定量来禁用AWS IAM用户访问密钥，以此来降低旧访问密钥所带来的安全风险。

01

AWS 容器服务的安全实践

随着微服务的设计模式得到越来越多开发者的实践，容器和微服务已经在生产环境中开始了规模化的部署。在这一过程中，也面临着越来越多的挑战。比如说，很多的微服务之间是相互依赖的，我们需要有更多的手段和方式来进行微服务的计划，扩展和资源管理，另外微服务之间的隔离更少，它们通常会共享内核或者网络，也对安全性提出了更高的要求。

02

Serverless 应用开发指南：serverless 的 hello, world

在翻译了几篇 serverless 与物联网相关的文章之后，我开始想着好好掌握一下 serverless 的相关知识。我对于 serverless 的第一认知是：Serverless 是由一堆云服务构建后端服务的，如存储、计算、授权都是由不同的服务来构建的。而作为一个开发人员，我们所要做的就是了解如何搭配不同的云服务。因此，在进行更多的定义之前，我打算先熟悉一下 serverless，以便于我更好地了解什么是 serverless 应用开发。 Serverless 框架 hello, world 考虑到

08

使用Python boto3上传Wind

为什么要创建终端节点，把VPC和S3管理起来呢？如果不将VPC和S3通过终端节点管理起来，那么VPC中EC2实例访问S3存储桶是通过公共网络的；一旦关联起来，那么VPC中EC2实例访问S3存储桶走的就是内部网络。好处有两个：1. 走内部网络就不会产生流量费用；2. 走内部网络速度快，不会因为网络原因导致我们的Python脚本产生异常。

02

ChaosDB漏洞：泄露了成千上万的微软Azure数据库

作者：Nir Ohfeld和Sagi Tzadik是安全公司Wiz的两位安全研究人员。如今我们在网上所做的几乎一切都通过云端的应用程序和数据库来进行。虽然存储桶泄漏备受关注，但对于大多数公司来说数据库泄露才是更大的风险，因为每个数据库可能含有数百万甚至数十亿条敏感记录。每个首席信息安全官（CISO）的噩梦是，有人一举获得了访问密钥，并往外泄露数千GB的数据。因此，当我们能够完全不受限制地访问数千个微软Azure客户（包括许多《财富》500强公司）的帐户和数据库时，您可以想象我们有多惊讶。Wiz的安全研

01

21条最佳实践，全面保障 GitHub 使用安全

GitHub 是开发人员工作流程中不可或缺的一部分。无论你去哪个企业或开发团队，GitHub 都以某种形式存在。它被超过8300万开发人员，400万个组织和托管超过2亿个存储库使用。GitHub 是世界上最大的源代码托管服务平台。

04

FreeBuf 周报 | 37%的公开共享文件正在泄露信息；全球互联网流量竟有一半来自机器人

商业智能/数据分析软件厂商 Sisense 遭遇了数据泄露事件， CISA 敦促该公司的客户尽快重置信息，以尽量避免其用于访问 Sisense 服务的凭证和机密被黑客利用。

01

Thoughtworks｜探讨下云原生安全的5个支柱

由于云已成为许多组织的技术基础设施的首选方法，攻击者不可避免地把注意力投向了它。虽然云可以提供一些安全优势，但它仍然需要引起高度重视；云打开了攻击面，为攻击者提供了更多的成功攻击机会，而且共享责任模型的复杂性——供应商和客户拥有基于云的堆栈的不同部分——会造成混淆，这很容易被被恶意行为者利用。

04

如何使用Cliam枚举云端环境IAM权限

Cliam是一款针对云端安全的测试工具，在该工具的帮助下，广大研究人员可以轻松枚举目标云端环境的IAM权限。当前版本的Cliam支持下列云端环境：AWS、Azure、GCP和Oracle。

02

如何使用Metabadger帮助AWS EC2抵御SSRF攻击

Metabadger是一款功能强大的SSRF攻击防护工具，该工具可以帮助广大研究人员通过自动升级到更安全的实例元数据服务v2（IMDSv2），以防止网络犯罪分子对AWS EC2发动SSRF攻击。

03

如何使用Cliam测试云端环境IAM权限安全

关于Cliam Cliam是一款针对云端安全的测试工具，在该工具的帮助下，广大研究人员可以轻松枚举目标云端环境的IAM权限。当前版本的Cliam支持下列云端环境：AWS、Azure、GCP和Oracle。 Cliam同时也是一个云端权限识别工具，该工具是一个命令行接口工具，不仅可以枚举目标云环境的特定权限，而且还可以检测云服务提供商的服务或资源子集。工具安装广大研究人员可以直接访问项目的【Releases页面】下载最新版本的Cliam（开发版，非稳定版）。或者，也可以使用下列命令将该项目源码克

01

原生加密：腾讯云数据安全中台解决方案

随着企业上云和数字化转型升级的深化，数据正在成为企业的核心资产之一，在生产过程中发挥的价值越来越大。

Concrete CMS 漏洞

我们之前在这里写过关于混凝土 CMS 的文章。在那篇文章中，我们描述了我们如何设法利用文件上传功能中的双重竞争条件漏洞来获得远程命令执行。在这篇博文中，我们将展示我们在去年年底对我们的一位客户进行渗透测试时发现的 Concrete CMS 中的多个漏洞。所有这些漏洞都已修复，我们要感谢他们的团队在这些问题上的合作。有关更多信息，请参阅“缓解措施”部分，了解有关解决密码中毒问题的安全提示以及有关提高此 CMS 安全性的其他提示。

04

FireProx：一款功能强大的AWS API网关管理与IP地址轮换代理工具

FireProx是一款功能强大的AWS API网关安全管理工具，该工具可以帮助广大研究人员创建实现唯一IP地址轮换的实时HTTP转发代理。

01

网络安全的三大支柱和攻击向量

BeyondTrust公司（连续4年Gartner特权访问管理象限之领导者）的首席技术官和首席信息安全官Morey Haber（莫雷·哈伯），与人合著，一口气写了三本书：

03

谈谈身份与访问管理（IAM）的12大趋势

你可能已经注意到，在刚结束不久的RSA大会上大量讨论围绕“身份”展开，而且很多公司也开始将自己的产品贴上“身份与访问管理（IAM）”的标签，大谈“身份治理”、“身份背景/上下文”、“特权访问管理”、“隐私”、“行为生物特征识别”、“生物识别平台”以及“以人为中心的安全”等问题。对于这种趋势，请尽可能地习惯它！

04

如何应用现代云计算安全的最佳实践

如今，很多企业仍然担心云计算的安全性，因为在迁移业务时可能会使其数据面临风险。因此需要探索有助于加强云计算环境安全的现代方法、技术、工具。

05

腾讯云运营日记-多种密钥认证篇

01

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭