2023 年 9 月 29 日
定期清理是所有帐户管理和安全最佳实践的一部分,而不仅仅是云环境。 在我们的 关于识别不活跃身份的博客文章中,我们研究了 IBM Cloud Identity and Access Management (IAM) 提供的 API 以及如何利用它们来获取有关 IAM 身份和 API 密钥的详细信息。 一些读者提供了反馈,并询问如何对已识别的不活跃身份进行处理和采取行动。
作为回应,我们将制定可能采取的步骤。 我们展示了如何查找和撤销现有特权以及需要考虑的事项。 此外,我们还讨论了如何从帐户中删除不同的身份类型。 我们还提供了一些关于如何编写脚本并可能自动执行这些管理任务的指导:
回顾:非活动身份
IBM Cloud Identity and Access Management (IAM) 支持 不同形式的身份。 它们包括用户和服务 ID(均带有关联的 API 密钥)以及可信配置文件。 当此类身份或关联的 API 密钥在设定时间内未用于验证时,将被视为无效。
IBM Cloud IAM 提供 创建非活动身份报告的功能。 默认情况下,如果身份在 30 天内未登录或未使用,则被视为不活动。 使用 API 或 SDK 创建报告时,您可以指定其他时间范围(例如 90 天)。
不活动的身份会带来安全风险,因为它们可能不再得到维护并且更容易受到攻击。 为了提高安全性,您应该撤销非活动身份的访问权限,甚至可能将其从云帐户中完全删除。
然而,仅用于季度或年度处理的特殊身份存在操作风险(我们认为这是糟糕的安全设计)。 如果清理干净,它们的关联任务可能会失败。 这种情况可以通过密切关注非活动身份及其权限的清理方式来解决。
自动清理
对发现的不活动身份进行操作可以手动完成,但应该自动化以提高效率和提高安全性。 手动和自动清理都可以遵循这样的过程:
- 生成并检索 报告不活跃身份 以获得所需的日期范围。
- 根据豁免 ID 列表检查报告的身份。
- 循环每个非豁免身份并 将其从所有 IBM Cloud IAM 访问组中删除。 另外,请确保没有 直接授予权限 存在。
- 过去发现 API 密钥并删除它们.
对于所有步骤,记录审计和改进的结果和采取的措施。
根据您的公司政策,您可能需要每月或每季度进行清理。 什么时候 触发报告生成 在第一步中,您可以指定视为非活动状态的持续时间(以小时为单位的范围)。 为了避免关闭重要身份的风险,您应该维护一个列表或数据库,其中包含从清理中排除的身份(上面的步骤 2)。 该列表还可用于区分不同的政策,例如每月或每季度检查。
当处理每个发现的非活动身份(例如,用户、服务ID、受信任的配置文件)时,撤销分配的权限是相当容易的。 IBM Cloud IAM 提供了 带有 DELETE 的 REST API 可从所有关联的访问组中删除 IAM 身份 (上面的步骤 3,请参见下面的屏幕截图)。
如果遵循最佳实践,则应仅通过访问组而不是直接分配权限。 您可以通过检索来验证此规则 IAM 身份直接授予的权限列表。 如果找到这样的权限(访问管理策略),就会有一个 用于删除该策略的 API (步骤 3)。 您可以查看我们的博文“IBM Cloud 安全性:如何清理未使用的访问策略”以获取更多信息。
有关非活动身份的报告还包括有关 API 密钥的部分。 API 密钥与用户或服务 ID 相关联。 问题是多久才能清理掉它们 删除 API 密钥。 与从身份中删除权限类似,删除关联的 API 密钥可能会破坏应用程序。 决定什么最适合您的云环境并符合企业标准。
上述清理步骤可以编写脚本并手动运行。 您还可以采用与我们在本节中描述的类似的方法来自动进行清理 关于自动数据抓取的博客文章。 使用 IBM 云代码引擎 使用 cron 订阅在设定的日期或时间间隔触发执行:
用户、服务 ID 和可信配置文件
上面,我们讨论了如何撤销非活动身份的权限。 为了进一步清理帐户并增强安全性,您应该考虑删除未使用的服务 ID 和受信任的配置文件,并从帐户中删除用户。 当明确不再需要这些身份时,这些操作可能是取消权限后的后续操作。 此外,您还可以定期 列出所有用户 并检查 他们的状态。 从您的帐户中删除处于无效、暂停或(某种)已删除状态的用户。
IBM Cloud 具有 API 函数来 从帐户中删除用户, 至 删除服务 ID 及其关联的 API 密钥 和 删除受信任的配置文件.
结论
定期帐户清理是帐户管理和安全最佳实践的一部分,而不仅仅是云环境。 在我们的 关于识别不活跃身份的博客文章中,我们研究了 IBM Cloud Identity and Access Management (IAM) 提供的 API 以及如何利用它们来获取有关 IAM 身份和 API 密钥的详细信息。
在这篇博文中,我们讨论了一种如何自动清理授予现在不活动身份的权限的方法。 值得注意的是,需要以(审核)日志和豁免身份列表的形式进行一些内务处理,以保持应用程序和工作负载的运行。 从这个意义上说,去做吧,但不要做得太过分。
有关更多信息,请参阅这些博客文章和服务文档:
如果您对本文有反馈、建议或疑问,请在 Twitter 上与我联系(@data_henrik), 乳齿象 (@data_henrik@mastodon.social),或 LinkedIn.
更多来自云
- :具有
- :是
- :不是
- $UP
- 1
- 19
- 2023
- 2024
- 26
- 28
- 29
- 30
- 300
- 31
- 400
- 50
- 53
- 9
- 90
- a
- 关于
- 以上
- 加速
- ACCESS
- 访问管理
- 根据
- 账号管理
- 横过
- 法案
- 行动
- 添加
- 额外
- 附加信息
- 另外
- 地址
- 解决
- 管理
- 行政
- 广告
- 后
- 驳
- AI
- 所有类型
- 还
- amp
- an
- 分析
- 和
- 宣布
- 全年
- 任何
- API
- APIs
- 应用领域
- 应用领域
- 的途径
- 应用
- 保健
- 围绕
- 刊文
- 人造的
- 人工智能
- 人工智能(AI)
- AS
- 分配
- 相关
- At
- 攻击
- 审计
- 认证
- 作者
- 自动化
- 自动化
- 自动
- 可用性
- 避免
- 背部
- 备份工具
- 备份
- 坏
- BE
- 因为
- 很
- before
- 开始
- 开始
- 作为
- 如下。
- 最佳
- 最佳实践
- 之间
- 亿
- 博客
- 博客文章
- 博客
- 都
- 午休
- 桥
- 瞻
- 商业
- 商业应用
- 企业
- 但是
- by
- CAN
- 能力
- 容量
- 碳
- 卡
- 牌
- 汽车
- 例
- 喵星人
- 更改
- 查
- 支票
- CIS
- 程
- 清除
- 客户
- 云端技术
- 云安全
- 码
- 颜色
- 一台
- 关注
- 分享链接
- 连接方式
- 考虑
- 考虑
- 消费
- 容器
- 内容
- 继续
- 控制
- 公司
- 相关
- 价格
- 可以
- 创建信息图
- 创造
- 创建
- 的CSS
- 习俗
- 顾客
- 达拉斯
- data
- 数据库
- 数据库
- 日期
- 重要日期
- 一年中的
- 决定
- 默认
- 定义
- 交付
- 交付
- 需求
- 部署
- 描述
- 描述
- 设计
- 设计
- 期望
- 详情
- 开发商
- 不同
- 数字
- 直接
- 方向
- 直接
- 灾害
- 发现
- 讨论
- 讨论
- 区分
- DNS
- do
- 文件
- 做
- 完成
- 别
- 向下
- 为期
- e
- 每
- 更容易
- 易
- 版
- 效率
- 或
- 新兴经济体的新市场。
- 提高
- 加强
- 输入
- 企业
- 企业
- 完全
- 环境
- 环境中
- 必要
- 醚(ETH)
- 甚至
- 例子
- 兴奋
- 排除
- 执行
- 被豁免
- 存在
- 现有
- Exit 退出
- 探索
- 失败
- 相当
- 反馈
- 找到最适合您的地方
- 发现
- (名字)
- 遵循
- 以下
- 字体
- 针对
- 申请
- 形式
- 发现
- 止
- 充分
- 功能
- 功能
- 进一步
- 代
- 发电机
- 给
- 全球
- 去
- 授予
- 格
- 组的
- 有
- 高度
- 帮助
- HOURS
- 创新中心
- How To
- 但是
- HTTP
- HTTPS
- IAM
- IBM
- IBM Cloud
- 首次代币发行
- ICON
- ID
- 思路
- 相同
- 确定
- 确定
- 身份
- 身分
- 身份和访问管理
- 身份和访问管理(IAM)
- IDS
- if
- 图片
- 势在必行
- 履行
- 重要
- 改善
- 改善
- 改善
- in
- 不活跃
- 包括
- 包括
- 增加
- 指数
- 行业
- 信息
- 基础设施
- 保险
- 房源搜索
- 网络
- 固有
- 推出
- 隔离
- IT
- 它的
- JPG
- 只是
- 保持
- 保持
- 键
- 键
- 类
- 大
- 铺设
- 学习用品
- 喜欢
- 清单
- 当地
- 日志
- 记录
- 不再
- 看着
- 降低
- 保持
- 保养
- 使
- 男子
- 管理
- 颠覆性技术
- 经理
- 手册
- 手动
- 三月
- 1 年 三月
- 乳齿象
- 最大宽度
- 可能..
- 也许
- me
- 有意义的
- 会见
- 可能
- 分钟
- 分钟
- 联络号码
- 模型
- MongoDB的
- 监控
- 每月一次
- 此外
- 最先进的
- 自然
- 旅游导航
- 需求
- 打印车票
- 需要
- 网络
- 网络
- 全新
- 没有
- 注意
- 没什么
- 现在
- 获得
- of
- 最多线路
- 提供
- 供品
- 经常
- on
- 正在进行
- 仅由
- 操作
- 检讨
- 优化
- or
- 其他名称
- 我们的
- 输出
- 结果
- 超过
- 简介
- 页
- 部分
- 过去
- 修补
- 员工
- 权限
- PHP
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 请
- 插入
- 点
- 政策
- 政策
- 热门
- 位置
- 可能
- 或者
- 帖子
- 帖子
- 做法
- 高级版
- 特权
- 权限
- 市场问题
- 继续
- 过程
- 处理
- 生产
- 本人简介
- 简介
- 提供
- 提供
- 提供者
- 提供
- 题
- 有疑问吗?
- 范围
- 达到
- 读者
- 阅读
- 原因
- 最近
- 建议
- 恢复
- 监管
- 去掉
- 去除
- 删除
- 更换
- 报告
- 报道
- 业务报告
- 要求
- 岗位要求
- 响应
- 回复
- 响应
- 恢复
- 收入
- 风险
- 路
- 机器人
- 第
- 运行
- 运行
- 同
- 脚本
- 屏风
- 脚本
- 脚本
- SDK
- 部分
- 保安
- 看到
- 感
- 搜索引擎优化
- 九月
- 服务
- 集
- XNUMX所
- 应该
- 显示
- 类似
- 网站
- 网站
- So
- 一些
- 不久
- 特别
- 赞助商
- 标准
- 开始
- 州/领地
- 步
- 步骤
- 剥离
- 强烈
- 奋斗
- 订阅
- 这样
- 套房
- SUPPORT
- 支持
- 肯定
- 暂停
- 瑞士人
- 平板电脑
- 滑车
- 采取
- 拍摄
- 服用
- 任务
- 这
- 世界
- 其
- 他们
- 主题
- 那里。
- 博曼
- 他们
- Free Introduction
- 那些
- 通过
- 次
- 标题
- 至
- 最佳
- 产品培训
- 触发
- 信任
- 信任
- 类型
- 类型
- 未使用
- 揭开
- 网址
- 使用
- 用过的
- 用户
- 用户
- 运用
- 利用
- 利用
- 变量
- 各种
- 确认
- 非常
- VMware的
- W
- 步行
- 想
- we
- 井
- 为
- 什么是
- 什么是
- ,尤其是
- 这
- 宽
- 将
- 女子
- WordPress
- 世界
- 书面
- 您
- 您一站式解决方案
- 和风网