发现哪个IAM用户/角色执行了Athena查询

IAM（Identity and Access Management）是一种云计算中的身份和访问管理服务，用于管理用户、角色和权限。它可以帮助用户控制对云资源的访问，并确保只有经过授权的用户可以执行特定操作。

在AWS（亚马逊云）中，要发现哪个IAM用户/角色执行了Athena查询，可以通过以下步骤进行：

登录到AWS管理控制台。
打开IAM控制台。
在左侧导航栏中，选择"Audit"（审计）。
在审计页面中，选择"CloudTrail"（云跟踪）。
在CloudTrail页面中，选择"Event history"（事件历史）。
在事件历史页面中，可以使用过滤器来筛选事件类型。选择"Athena"作为事件类型。
筛选后，将显示执行Athena查询的事件列表。
在事件列表中，可以查看执行查询的IAM用户/角色的详细信息，包括名称、ARN（Amazon资源名称）等。

通过以上步骤，可以发现执行了Athena查询的IAM用户/角色，并获取相关的详细信息。

Athena是AWS提供的一种交互式查询服务，用于在S3存储桶中执行SQL查询。它可以帮助用户分析大规模的数据集，无需预先定义模式或进行复杂的数据转换。Athena具有以下特点和优势：

弹性扩展：Athena可以根据查询的需求自动扩展计算资源，以提供快速的查询结果。
无服务器架构：用户无需管理任何基础设施，只需将查询提交给Athena即可。
支持标准SQL：Athena支持标准的SQL查询语法，用户可以使用熟悉的SQL语句进行数据分析。
集成S3和Glue：Athena直接与S3存储桶和AWS Glue数据目录集成，可以轻松地查询和分析存储在S3中的数据。

在腾讯云中，类似的服务是TDSQL（TencentDB for TDSQL），它是一种云原生的分布式SQL数据库服务。TDSQL具有以下特点和优势：

高可用性：TDSQL采用分布式架构，具备高可用性和容灾能力，可以保证数据的可靠性和稳定性。
弹性扩展：TDSQL支持按需扩展计算和存储资源，以适应不同规模和负载的需求。
兼容MySQL：TDSQL兼容MySQL协议和语法，用户可以无缝迁移现有的MySQL应用到TDSQL上。
安全可靠：TDSQL提供数据备份、数据恢复、数据加密等安全机制，保障数据的安全性和可靠性。
管理便捷：TDSQL提供了可视化的管理控制台和命令行工具，方便用户管理和监控数据库。

更多关于TDSQL的信息和产品介绍，可以访问腾讯云官方网站：TDSQL产品介绍。

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

跟着大公司学数据安全架构之AWS和Google

尤其体现在资源的细颗粒程度，例如我要对EC2进行IP分配，这就是一个资源，而IAM针对这个资源的策略可以有允许、禁止、申请等不同的资源级权限，再进一步，要能够根据不同的角色甚至标签进行。...此外日志记录也是IAM的一项重要内容，从这里可以发现异常。...Macie单独对个人身份信息进行了设计，为了提高个人身份信息的准确性，使用了一些可调参数的分类，例如大于50个姓名和电子邮件的组合，则标记为高准确性的PII，而大于5个姓名或电子邮件的组合则标记为中，这样可以让用户根据自己的数据特点灵活的去定义个人敏感信息...如下图，把真实员工的ID换成一个随机值，这样就无法定位到是哪个员工，但又不影响分析。 ?...API • 调用通常用于账户中添加，修改或删除IAM用户，组或策略的AP • 未受保护的端口，正在被一个已知的恶意主机进行探测，例如22或3389 • 从Tor出口节点IP地址调用API • 从自定义威胁列表中的

1.8K1 0

浅谈云上攻防系列——云IAM原理&风险以及最佳实践

Step 3：在通过身份认证机制后，IAM服务会进行授权校验：在此期间，IAM服务将会使用请求上下文中的值来查找应用于请求的策略，依据查询到的策略文档，确定允许或是拒绝此请求。...研究人员发现，AWS Iam Authenticator在进行身份验证过程中存在几个缺陷：由于代码错误的大小写校验，导致攻击者可以制作恶意令牌来操纵AccessKeyID 值，利用这些缺陷，攻击者可以绕过...遵循最小权限原则：在使用 IAM为用户或角色创建策略时，应遵循授予”最小权限”安全原则，仅授予执行任务所需的权限。...监控IAM事件：通过审计IAM日志记录来确定账户中进行了哪些操作，以及使用了哪些资源。日志文件会显示操作的时间和日期、操作的源 IP、哪些操作因权限不足而失败等。...角色是指自身拥有一组权限的实体，但不是指用户或用户组。角色没有自己的一组永久凭证，这也与 IAM 用户有所区别。

2.7K4 1

Pacu工具牛刀小试之基础篇

上设置了对应的IAM管理用户Test以及EC2和S3的管理用户Tory，以供演示Pacu工具可以获取到信息。...关于AWS的部分介绍 ✚ ● ○ AWS IAM----提供用户设置以及授权 AWS EC2----提供云服务器 AWS S3----提供网盘 IAM所创建的用户，是用于控制EC2服务以及S3服务，可具体至服务中的一些权限控制...各字段（从上往下）依次为用户名、角色名、资源名称、账户ID、用户ID、角色、组、策略、访问秘钥ID、加密后的访问秘钥、会话token、秘钥别名、权限（已确定）、权限。...一样地方法，通过输入set_keys来添加所知的对应用户KeyID以及对应的秘钥： ? 并通过whoami查询： ?...发现没什么有用的信息，此时，我们可以使用services查看该用户对应的哪些服务： ? 之后便准备获取EC2的相关信息。

2.6K4 0

关于数据湖架构、战略和分析的8大错误认知

以Amazon的Athena为例，Athena不是一个数据仓库软件，而是一个基于开源FaceBook Presto开发的按需查询引擎，它将按需提供“计算”资源查询数据作为一项服务来提供。...Amazon的Redshift Spectrum和Athena一样可以查询数据湖中的数据，利用的是从一个Redshift集群中分离出来的计算资源。...可以通过Athena这类的查询引擎或者像Redshift、BigQuery、Snowflake等“仓库”来查询数据湖数据内容，这些服务提供计算资源，而不是提供一个数据湖。...因为这是Oracle BI环境中最高效的和最具成本效益的数据处理模式，尤其是考虑到使用AWS数据湖和Athena作为按需查询服务的灵活性和经济性。...数据湖更大的威胁不是缺乏治理、管理、生命周期策略和元数据，而是缺乏防止这种情况发生的生态系统，这个生态系统包括工具、角色、职责和系统。

1.8K2 0

关于数据湖架构、战略和分析的8大错误认知（附链接）

以Amazon的Athena为例，Athena不是一个数据仓库软件，而是一个基于开源FaceBook Presto开发的按需查询引擎，它将按需提供“计算”资源查询数据作为一项服务来提供。...Amazon的Redshift Spectrum和Athena一样可以查询数据湖中的数据，利用的是从一个Redshift集群中分离出来的计算资源。...可以通过Athena这类的查询引擎或者像Redshift、 BigQuery、Snowflake等“仓库”来查询数据湖数据内容，这些服务提供计算资源，而不是提供一个数据湖。...因为这是Oracle BI环境中最高效的和最具成本效益的数据处理模式，尤其是考虑到使用AWS数据湖和Athena作为按需查询服务的灵活性和经济性。...数据湖更大的威胁不是缺乏治理、管理、生命周期策略和元数据，而是缺乏防止这种情况发生的生态系统，这个生态系统包括工具、角色、职责和系统。

1.3K2 0

Concrete CMS 漏洞

权限提升让我们从开始测试时发现的权限提升问题开始。用户组具有层次结构，它们相互继承权限。...，他们似乎忘记在此端点上实施权限检查，我们已经设法使用权限非常有限的用户（“编辑”角色）将“编辑”组移动到“管理员”下。...如前所述，我们很清楚这已被利用，并且已经进行了一些修复。我们可以绕过这些修复吗？不允许使用实例元数据某些文件扩展名被阻止（.php 和其他），您也不能使用重定向。我们还能做什么？...作为提示，您可能必须发送 2-3 个请求才能成功，因为本质上您是在尝试在这里赢得竞争条件（检查时间、使用时间），因为 Concrete CMS 团队进行了多次验证之前已经到位。...使用 DNS 重新绑定获取 AWS IAM 角色我们获得了实例使用的 AWS IAM 角色： AWS IAM 角色来自实例元数据的 AWS IAM 密钥这个故事的寓意是，总是有更多的技巧可以尝试

2.4K4 0

寻觅Azure上的Athena和BigQuery（一）：落寞的ADLA

AWS Athena和Google BigQuery都是亚马逊和谷歌各自云上的优秀产品，有着相当高的用户口碑。...对于习惯了Athena/BigQuery相关功能的Azure新用户，自然也希望在微软云找到即席查询云存储数据这个常见需求的实现方式。...得到的查询结果为： ? 嗯，看上去AWS Athena轻松地完成了我们的分析任务。接下来则轮到Azure出场了。...然而，通过实际的操作和体验，我们也发现了ADLA在产品层面还是存在一些短板，使得其使用范围较为受限： ADLA必须配合ADLS Gen1存储使用，不能适用于最为常见的Azure Blob Storage...逐渐地，ADLA产品似乎进入了维护状态，新特性的更新较为缓慢；而坊间更是传闻相应团队已经重组，与Azure Storage及其他大数据产品团队进行了整合——这一结果委实令人唏嘘。

2.4K2 0

AWS 瘫痪：互联网“半壁江山”出现了网页打开缓慢或故障

受影响的服务包括：EC2、Connect、DynamoDB、Glue、Athena、Timestream和Chime以及US-EAST-1的其他AWS服务。...所有AWS区域中控制台的root登录都受到了该问题的影响，但是客户可以使用IAM角色完成身份验证，登录到US-EAST-1以外的控制台。...问题似乎集中在位于弗吉尼亚州的US-EAST-1 AWS区域（该区域为美国东部区的用户提供连接服务），因此其他地方的用户可能不会看到那么多问题；即使你受到了影响，也可能表现为网页打开速度稍慢，原因是网络需要

5442 0

下一个风口-基于数据湖架构下的数据治理

；第四章给出了Amazon Athena和AWS Glue中国区域最佳实践案例，并以具体产品为例说明数据湖数据管理的4个能力，以帮助读者对数据湖管理技术有更为深入详细的认识；第五章对数据湖未来的发展进行了展望...而Amazon Athena是一种交互式查询服务，让您能够轻松使用标准 SQL 直接分析Amazon S3中的数据。...Amazon Athena 是一种交互式查询服务，让您能够轻松使用标准SQL分析Amazon S3中的数据。只需指向存储在 Amazon S3中的数据，定义架构并使用标准SQL开始查询。...由于Athena是一种无服务器服务，因此客户不需要管理基础设施，而且只为他们运行的查询付费。Athena可以自动扩展，并行执行查询，所以即便是大型数据集和复杂的查询，也能很快获得查询结果。...AWS Glue消除了ETL作业基础设施方面的所有重复劳动，让Amazon S3数据湖中的数据集可以被发现、可用于查询和分析，极大地缩短分析项目中做ETL和数据编目阶段的时间，让ETL变得很容易。

2.3K5 0

网络安全架构 | IAM（身份访问与管理）架构的现代化

文约8800字阅读约25分钟 IAM（身份和访问管理）通常负责用户需要访问的各种系统中的身份生命周期管理，包括入职、离职、角色变更。...一、从IAM到授权演进 01 IAM面临的困境 IAM（身份和访问管理）通常负责用户需要访问的各种系统中的身份生命周期管理，包括入职、离职、角色变更等。...二、使用PBAC重构IAM架构 01 重构IAM架构的思路随着面对全球化的数字转型和网络安全威胁向量的持续增长，IAM专家现在发现传统IAM架构模式并不总是合适。...在下面的类型1场景中，IdP可以查询PDP以获取动态范围、请求、角色和/或用户应该向应用程序提交的权限。这些动态权限可以使现有的粗粒度访问模型更加细粒度和动态性。...在下面的类型3场景即IGA解决方案中，很像上面的IdP场景，可以向PDP查询应用程序、角色和权限。这些更多的上下文权限，可以显著减少置备过程中的静态分配。

6.3K3 0

搭建云原生配置中心的技术选型和落地实践

不添加这个临时凭证信息就会自动使用 EC2 默认或者配置的 IAM 角色凭证。如何合理配置 AppConfig 服务的读写权限？...所以我们为客户端 EC2 的默认 IAM 配置了 AppConfig 读权限，为用户界面 EC2 申请了特殊 IAM 角色并为它配置了 AppConfig 读写权限。...角色配置成功后，可以在 POD 里查询环境变量确认：AWS_ROLE_ARN，AWS_WEB_IDENTITY_TOKEN_FILE。...使用特殊 IAM 角色，需要通过 AWS STS 获取临时凭证后再发送 AWS 服务请求。...EC2 默认 IAM 的权限长期有效，特殊 IAM 角色的凭证是有期限的。如果在服务运行时遇到了 ExpiredTokenException，需要审视一下 AWS API Client 的生命周期。

1.3K2 0

RSAC 2024创新沙盒｜P0 Security的云访问治理平台

如果用户对 IAM 控制不当，可能会导致以下问题：数据泄露如果用户的 IAM 凭据泄露，攻击者可能会利用这些凭据访问敏感数据或执行未经授权的操作；资源滥用用户可能会错误地配置 IAM 角色或权限...数据丢失如果用户意外地删除了某些 IAM 实体（如角色或用户），可能导致数据丢失或系统中断。...Prisma Cloud服务下，可以做到IAM的不当授权发现，如图4所示，笔者认为和P0 Security的产品相比，在支持的公有云方面更加丰富且展示界面更加精美。...图5 P0 Security 即时申请策略部署方式 P0 Security的部署方式非常简单，按其官网提供的操作文档部署即可，需要注意的是用户可选是否在IAM中注入P0 Securiy的角色，用以创建用户的临时性使用角色等其它操作...若需对IAM的角色进行权限风险分析，仅需一键即可获得按优先级排序的结果，如图7所示。

1881 0

基于AWS EKS的K8S实践 - 集群搭建

创建角色，这里假设角色名称是eks-cluster-role aws iam create-role \ --role-name eks-cluster-role \ --assume-role-policy-document...将所需的 IAM policy 附加到角色 aws iam attach-role-policy \ --policy-arn arn:aws:iam::aws:policy/AmazonEKSClusterPolicy...\ --role-name eks-cluster-role 通过上述三个步骤即可创建成功，在IAM控制台可以看到我们刚刚创建的角色，如下图： VPC准备这里创建一个VPC，VPC在创建的时候一定要启动...安装aws cli aws-cli安装一定要符合版本要求的，可以去aws官网查询指定版本进行安装，我这里安装的是2.11.24，如下图：自动创建kubeconfig文件 aws eks update-kubeconfig...填写高级信息，这边我们主要做两件事，一件是绑定role，另一个是填写用户数据，如下图：上图中我们绑定了前面创建的role，用户数据我们需要填写以下内容(其中test-eks需要替换成你实际的集群名称

4894 0

AWS攻略——一文看懂AWS IAM设计和使用

附加角色 1 作用一言以蔽之，AWS IAM就是为了管理：谁（不）可以对什么做什么。...老王只要把前端组和后端组的权限做一次修改就行了，而不用挨个修改每个人的权限和资源。...谁对什么做什么前端代码审查角色对代码仓库C、E、G和I 进行审查后端代码审查角色对代码仓库D、F、H和J 进行审查 3 总结对照IAM，我们将上述内容拆开看。...4.5 角色阿拉Software公司的代码审查工具是部署在EC2（虚拟机）上，我们就需要在IAM中新建一个角色——CodeCheckRole。让这些EC2属于这些角色，进而拥有一些权限。...4.5.3 附加角色在创建EC2实例时，我们在“IAM instance profile”中选择上述创建的角色。

9851 0

云攻防课程系列（二）：云上攻击路径

课程共分为六个章节，分别就云计算基础、云上攻击路径、云上资产发现与信息收集、云服务层攻防、云原生安全攻防以及虚拟化安全攻防进行了详细介绍。...场景一：利用泄露的云凭据&IAM服务路径：窃取云凭据->查询凭据权限->利用IAM服务进行权限提升->横向移动->控制云服务资源公有云厂商在提供各类云服务时，为了便于用户在多种场景下（如在业务代码中调用云服务功能或引入云上数据资源时...IAM服务进行权限提升从而访问云服务资源，感兴趣的可以阅读《云凭证的泄露与利用》[4]和《浅谈云上攻防系列——云IAM原理&风险以及最佳实践》[5]进行详细了解。...场景二：利用实例元数据服务路径：应用漏洞利用->获取元数据服务访问权限->角色信息获取->角色临时凭据获取->临时凭据权限查询->横向移动->控制云服务资源->数据窃取元数据服务是一个内网服务，通过该服务...场景四：利用错误配置的存储桶路径：存储桶服务发现->使用凭据访问IAM->窃取云凭据->查询凭据权限->权限提升->横向移动->获取云服务器资源对象存储也称为基于对象的存储，是一种计算机数据存储架构

5413 0

从 Azure AD 到 Active Directory（通过 Azure）——意外的攻击路径

2.5K1 0

从Wiz Cluster Games 挑战赛漫谈K8s集群安全

刚好提示1中告诉我们“节点的IAM角色名称的约定模式为：[集群名称]- 节点组-节点实例角色”。...如果IAM信任策略没有对sub字段进行检查，那么任何能够生成有效OIDC令牌的服务账户都可以扮演这个IAM角色。...如果IAM信任策略没有对sub字段进行检查，那么服务账户A就可能生成一个OIDC令牌，然后扮演这个IAM角色，从而获得更广泛的权限。...安全思考:从集群服务移动到云账户风险 IRSA（IAM roles for service accounts）具有使用户能够将 IAM 角色关联至 Kubernetes 服务账户的功能。...其精髓在于采用 Kubernetes 的服务账户令牌卷投影特性，确保引用 IAM 角色的服务账户 Pod 在启动时访问 AWS IAM 的公共 OIDC 发现端点。

3611 0

【云原生攻防研究】针对AWS Lambda的运行时攻击

笔者近期就此问题进行了研究，并通过实验发现这些云厂商的函数运行时都可通过服务端不安全的配置与函数已知漏洞结合去进行攻击，例如开发者在编写应用时可能因为一个不安全的函数用法加之为此函数配置了错误的权限导致敏感数据遭至大量泄漏...2.4AWS IAM Identity and Access Management(IAM)为AWS账户的一项功能，IAM可使用户安全的对AWS资源和服务进行管理，通常我们可以创建和管理AWS用户和组...IAM用户 aws iamcreate-user --user-name xxx ##创建IAM登录方式 aws iam create-login-profile --user-namexxx --password...xxx ##为IAM用户创建访问Token aws iam create-access-key --user-name xxx ##将IAM用户添加至Admin用户组 aws iam add-user-to-group...图13 账户遭到权限篡改本实验只是简单的对角色策略进行了修改，并未造成太大影响，试想在真实场景中，攻击者往往是不留情面的，在拿到访问凭证的前提下，可对策略进行任意增删查改，从而达到未授权访问的目的。

2K2 0

【连载】如何掌握openGauss数据库核心技术？秘诀五：拿捏数据库安全（6）

IAM角色信息支持创建支持IAM认证的数据库用户，该用户没有密码，只支持IAM连接认证使用 2 支持获取凭证API接口，以ak/sk信息为入参获取token，且返回token前需要校验token中IAM...用户名信息服务端新增认证类型，通过用户属性判断使用IAM认证，而非账户口令认证 3 获取凭证API接口需支持用户自动创建及群组添加用户功能客户端JDBC支持使用凭证API接口获取IAM临时凭据信息，...获取凭证API接口将通过DWS Service和管控侧工具将AutoCreate、数据库用户名信息传递到管控域，GuestAgent需要内部连接数据库查询DWS Service传递的数据库用户名是否存在...DBA用户及恶意运维人员可以登录系统，并恶意修改系统数据。在修改完数据信息后，DBA用户可以删除对应的审计日志而不被审计管理员发现。这里实际上体现的是第三方可信源监守自盗的问题。...在众多的智能安全机制中，首当其冲的敏感数据发现。数据库最重要的是保护用户数据，而数据里面最为重要的是敏感数据。随着数据格式的多样化，用户实际的隐私数据隐藏在了海量数据潮中。

7573 0

数据湖学习文档

接下来是查询层，如Athena或BigQuery，它允许您通过一个简单的SQL接口来探索数据湖中的数据。...我们发现这是最佳的整体性能组合。分区当每个批处理中开始有超过1GB的数据时，一定要考虑如何分割或分区数据集。每个分区只包含数据的一个子集。...查询层:雅典娜一旦您将数据放入S3，开始研究您所收集的数据的最佳方法就是通过Athena。...在这里，我们根据每个客户的源代码进行了分区。当我们查看特定的客户时，这对我们很有用，但是如果您查看所有的客户，您可能希望按日期进行分区。查询时间! 让我们从上表中回答一个简单的问题。...从S3中，很容易使用Athena查询数据。Athena非常适合进行探索性分析，它有一个简单的UI，允许您针对S3中的任何数据编写SQL查询。拼花可以帮助减少你需要查询的数据量，节省成本!

8732 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云