开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

身份验证问题(403)尝试从EC2实例上的SQS队列读取，尽管通过IAM角色具有适当的权限

身份验证问题(403)是指在尝试从EC2实例上的SQS队列读取时出现了权限不足的错误。这意味着IAM角色没有被正确配置或者缺少必要的权限。

身份验证问题(403)的解决方法如下：

确认IAM角色权限：首先，确保IAM角色具有适当的权限来读取SQS队列。可以通过以下步骤来检查和更新IAM角色的权限：
- 登录到腾讯云控制台，打开 "访问管理" 页面。
- 选择 "角色"，找到与EC2实例相关的角色。
- 点击角色名称，进入角色详情页面。
- 在 "权限策略" 选项卡下，检查是否存在适当的SQS权限策略。如果没有，请添加适当的策略，以确保角色具有读取SQS队列的权限。
检查网络连接：确保EC2实例能够正常连接到SQS服务。检查以下几点：
- 确保EC2实例的安全组配置允许与SQS服务进行通信。
- 确保EC2实例的路由表和网络访问控制列表（NACL）没有阻止与SQS服务的通信。
检查SQS队列权限：确保SQS队列的权限设置正确。可以通过以下步骤来检查和更新SQS队列的权限：
- 登录到腾讯云控制台，打开 "消息队列服务" 页面。
- 选择相应的队列，进入队列详情页面。
- 在 "权限管理" 选项卡下，检查是否存在适当的权限策略。如果没有，请添加适当的策略，以确保EC2实例具有读取该队列的权限。
检查IAM角色关联：确保IAM角色与EC2实例正确关联。可以通过以下步骤来检查和更新IAM角色的关联：
- 登录到腾讯云控制台，打开 "云服务器 CVM" 页面。
- 选择相应的实例，进入实例详情页面。
- 在 "实例设置" 选项卡下，检查是否选择了正确的IAM角色。如果没有，请选择正确的角色。

如果以上步骤都正确配置，但仍然遇到身份验证问题(403)，建议联系腾讯云的技术支持团队，以获取进一步的帮助和指导。

腾讯云相关产品和产品介绍链接地址：

腾讯云访问管理（CAM）：https://cloud.tencent.com/product/cam
腾讯云消息队列服务（TencentMQ）：https://cloud.tencent.com/product/tmq

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

云环境中的横向移动技术与场景剖析

本文将对云端环境中的横向移动技术和相关场景进行深入分析和研究，并给大家展示研究人员在云环境中观察到的一些威胁行为。云端环境中的横向移动可以通过利用云API和对计算实例的访问来实现，而云端级别的访问可能会扩展到后者。

01

SSM通信研究：如何拦截SSM代理流量

在这篇文章中，我将跟大家分享我在利用SSM代理通信实现后渗透利用方面所作的一些研究。需要注意的是，我这里指的并不是SSM代理或SSM中的安全漏洞。

02

AWS 容器服务的安全实践

随着微服务的设计模式得到越来越多开发者的实践，容器和微服务已经在生产环境中开始了规模化的部署。在这一过程中，也面临着越来越多的挑战。比如说，很多的微服务之间是相互依赖的，我们需要有更多的手段和方式来进行微服务的计划，扩展和资源管理，另外微服务之间的隔离更少，它们通常会共享内核或者网络，也对安全性提出了更高的要求。

02

Pacu工具牛刀小试之基础篇

随着时间的高速发展，社会的不断进步……亚马逊公司推出了AWS云计算平台，有越来越多公司或是大佬们的首选，为了能够跟得上大佬们的步伐，斗哥也决定入坑了。正所谓工欲善其事，必先利其器，因此，斗哥想先向大家介绍一款工具----Pacu（一款基于AWS渗透测试的框架）。

04

从Wiz Cluster Games 挑战赛漫谈K8s集群安全

11月初，云安全公司WIZ发起了一项名为“EKS Cluster Games”的CTF挑战赛[1]，引发了众多云安全爱好者的参与。本次挑战赛的主题是关于容器集群的攻击技巧。比赛共包括5个场景，整体存在一定的难度，非常值得挑战和学习。

01

每周云安全资讯-2022年第31周

1 对Kubernetes 的 AWS IAM Authenticator的身份验证利用在这篇博文将介绍在 AWS IAM Authenticator 中检测到的三个漏洞，所有这些漏洞都是由同一代码行引起的 https://mp.weixin.qq.com/s/PJ5YqSxHttgjKZXVkxqIcQ 2 详细案例教会你如何在AWS中链接漏洞getshell和访问数据本文为旧金山湾区的OWASP会上演讲，关于在AWS EC2实例中使用错误配置、公开允许的IAM策略和应用程序安全漏洞getshell

04

亚马逊云安全引发世界关注

在拉斯维加斯举行的黑帽大会(Black Hat 2014)上，一位颇有名声的研究人员称安全专业人士并未对托管在AWS云基础架构上的应用的安全性给予充分的关注，因而AWS用户可能更容易遭受到攻击：隐私信息暴露、模仿AWS EC2实例，甚或更糟。黑帽大会上在星期三发表的一次演讲中，咨询公司Bonsai Information Security的创始人、开源w3af安全框架的领导者Andres Riancho详细阐明了他为一个“将Web应用托管在AWS基础架构上”的客户提供渗透测试的全经历。尽管之前Rianc

跟着大公司学数据安全架构之AWS和Google

近年来数据泄漏的事件层出不穷，网上可以搜到大量的数据泄漏新闻。从业者也都明白，数据泄漏只是一个结果，而原因有很多种，可能是一个越权漏洞，也可能是一个弱口令，有N种可能都会导致泄漏。传统的数据安全保障体系为什么没能有效遏制数据泄漏？是方法论出错了，还是执行不到位？带着这个问题，笔者研究了两家云服务厂商，试图从框架上寻找可借鉴的地方。结论是，有可借鉴的地方，但仍然不足以保证数据安全。

01

国外物联网平台（1）：亚马逊AWS IoT

设备影子服务使用MQTT话题，便于应用和设备之间的通信，下面是相关的MQTT QoS 1话题：

03

AMBERSQUID 云原生挖矿恶意软件疑似与印尼黑客有关

Sysdig 的研究人员发现了一种新的云原生挖矿攻击行动，并将其命名为 AMBERSQUID。攻击针对不太常用的 AWS 服务，如 AWS Amplify、AWS Fargate 和 Amazon SageMaker。这些不常见的服务往往意味着其安全性也会被忽视，AMBERSQUID 可能会让受害者每天损失超过 1 万美元。

03

AWS攻略——一文看懂AWS IAM设计和使用

一言以蔽之，AWS IAM就是为了管理：谁（不）可以对什么做什么。（转载请指明出于breaksoftware的csdn博客）

01

使用Python进行云计算：AWS、Azure、和Google Cloud的比较

随着云计算的普及，越来越多的企业和开发者转向使用云服务来构建和扩展他们的应用程序。AWS（亚马逊云服务）、Azure（微软云）和Google Cloud Platform（谷歌云平台）是当前市场上最受欢迎的三大云服务提供商。本文将使用Python语言为您展示如何在这三个平台上执行常见的任务，并比较它们的优缺点。

02

云计算安全：保护数字资产的前沿策略

随着云计算的广泛应用，数字化资产存储和管理已经变得更加便捷，但也引发了新的安全威胁和挑战。本文将深入探讨云计算安全的前沿策略，包括关键威胁、安全最佳实践以及如何保护您的数字资产。我们还将提供示例代码以帮助理解这些策略的实际应用。

01

具有EC2自动训练的无服务器TensorFlow工作流程

机器学习训练工作通常是时间和资源密集型的，因此将这一过程整合到实时自动化工作流程中可能会面临挑战。

01

浅谈云上攻防系列——云IAM原理&风险以及最佳实践

云上身份和访问管理功能简介身份和访问管理是什么？关于这个问题，Gartner Information Technology Glossary中给出了关于IAM的定义：“Identity and access management (IAM) is the discipline that enables the right individuals to access the right resources at the right times for the right reasons”。与之类似，云上身份

04

使用Kubernetes重新思考系统架构并减轻技术债务

当开发人员接手了一个软件，一般不想费心去理解它是如何工作的时候，通常情况下重写是一种看起来比较好的方式。经验丰富的管理者和高级工程师都知道，除非确实有必要，否则应该避免重写，因为重写通常涉及很多复杂性，并且会在重写过程中引入新问题。

02

Certification Vending Machine: 智能设备接入 AWS IoT 平台解决方案

AWS IoT 平台为了保证终端设备通信的安全性，终端设备与 AWS IoT 平台的 MQTT 通信使用基于证书的 TLS 1.2 双向认证体系。即 IoT 平台会验证当前设备使用的证书是否可信，同时，终端设备也会验证 IoT 平台使用的 CA 证书是否可信。

02

超越架构师！消息通知系统优化设计

为发送通知，需收集各种信息如移动设备令牌、email、phone和第三方通道信息。

01

消息通知(Notification)系统优化

为发送通知，需收集各种信息如移动设备令牌、email、phone和第三方通道信息。

01

云应用：混合云需要混合网络来支撑

在经过一番艰苦努力的之后，我最终调试解决了一个非常棘手的混合云网络问题。虚拟私有云（VPC）提供了一个包含免费虚拟机(VM)使用时间的培训项目，学生可以跟随一位现场讲师学习，而不需要花时间去安装产品。但是，大量的短暂存在亚马逊云服务(AWS)虚拟机使我的主控机很难保持对它们的可靠控制。它们可能无法访问我最喜欢的亚马逊简单队列服务(SQS)，使用几百个这种服务会控制我的Elastic Compute Cloud(EC2)费用支出。和许多很好的混合云一样，VPC的私有地址空间已经通过AWS Direct C

04

如何应对混合云网络的复杂性？

在经过一番艰苦努力的之后，我最终调试解决了一个非常棘手的混合云网络问题。虚拟私有云（VPC）提供了一个包含免费虚拟机(VM)使用时间的培训项目，学生可以跟随一位现场讲师学习，而不需要花时间去安装产品。但是，大量的短暂存在亚马逊云服务(AWS)虚拟机使我的主控机很难保持对它们的可靠控制。它们可能无法访问我最喜欢的亚马逊简单队列服务(SQS)，使用几百个这种服务会控制我的Elastic Compute Cloud(EC2)费用支出。和许多很好的混合云一样，VPC的私有地址空间已经通过AWS Direct C

06

如何使用Metabadger帮助AWS EC2抵御SSRF攻击

Metabadger是一款功能强大的SSRF攻击防护工具，该工具可以帮助广大研究人员通过自动升级到更安全的实例元数据服务v2（IMDSv2），以防止网络犯罪分子对AWS EC2发动SSRF攻击。

03

零停机给Kubernetes集群节点打系统补丁

Salesforce 的 Einstein Vision 和语言服务部署在 AWS Elastic Kubernetes Service(EKS) 集群上。其中有一个最主要的安全和合规性需求，就是给集群节点的操作系统打补丁。部署服务的集群节点需要通过打补丁的方式进行系统的定期更新。这些补丁减少了可能让虚拟机暴露于攻击之下的漏洞。

01

将SSRF升级为RCE

今天我照例要和大家分享一个新的多汁漏洞。这个问题是在一个私人客户中发现的，所以我们称之为redacted.com。探索范围。在列举客户的域为子域的时候，我发现子域[docs]。我发现子域[docs]。我出来到这个子域[docs.redact.com]。寻找带外资源负载。 [docs]子域显示了一些文件和统计资料。当点击一个统计的照片时，我看到了一种奇怪的，但不是一个神奇的链接：我首先想到的是把[url]的值改为generaleg0x01.com 然后我注意到了[mimeType]参数，所以编辑

04

使用SSRF泄漏云环境中的Metadata数据实现RCE

本文我将向大家分享一个新的非常有意思的漏洞。利用该漏洞可以为我们泄漏云环境中的Metadata数据，并进一步的实现远程代码执行（RCE ）。

03

ec2安装CloudWatchAgent

一、背景二、创建IAM角色和用户三、配置CloudWatch代理日志保留策略四、下载并安装代理安装包五、创建CloudWatch代理配置文件六、运行CloudWatchAgent参考

02

浅谈云上攻防——Web应用托管服务中的元数据安全隐患

前言 Web应用托管服务是一种常见的平台即服务产品（PaaS），可以用来运行并管理Web类、移动类和API类应用程序。Web应用托管服务的出现，有效地避免了应用开发过程中繁琐的服务器搭建及运维，使开发者可以专注于业务逻辑的实现。在无需管理底层基础设施的情况下，即可简单、有效并且灵活地对应用进行部署、伸缩、调整和监控。 Web应用托管服务作为一种云上服务，其中也会应用到的元数据服务进行实例元数据查询，因此不得不考虑元数据服务安全对Web应用托管服务安全性的影响。通过“浅谈云上攻防”系列文章《浅谈云上攻

02

深入了解IAM和访问控制

本文为InfoQ中文站特供稿件，首发地址为：http://www.infoq.com/cn/articles/aws-iam-dive-in。访问控制，换句话说，谁能在什么情况下访问哪些资源或者操作，是绝大部分应用程序需要仔细斟酌的问题。作为一个志存高远的云服务提供者，AWS自然也在访问控制上下了很大的力气，一步步完善，才有了今日的 IAM：Identity and Access Management。如果你要想能够游刃有余地使用AWS的各种服务，在安全上的纰漏尽可能地少，那么，首先需要先深入了

08

每周云安全资讯-2022年第46周

1 服务器端攻击、公有云中的 C&C 以及我们观察到的其他 MDR 案例使用 Amazon、Azure 或 Google 等公有云服务会使攻击者的服务器难以被发现。本文介绍了几起攻击者使用云服务进行 C&C 的事件。 https://securelist.com/server-side-attacks-cc-in-public-clouds-mdr-cases/107826/ 2 GCP 渗透测试笔记本文为谷歌云平台渗透测试笔记，详细的介绍了众多谷歌云中涉及到的渗透测试技术。 https://0xd4y

03

如何使用CloudSpec验证你的云端资源安全性

CloudSpec是一款功能强大的开源工具，可以帮助广大研究人员通过普通人都能理解的逻辑语言来验证你托管在云服务提供商那里的云端资源安全。

01

资源 | Parris：机器学习算法自动化训练工具

选自GitHub 机器之心编译参与：刘晓坤、路雪、蒋思源 Parris 是一个自动化训练机器学习算法的工具。如果各位读者经常需要构建并训练机器学习模型，且花费很多时间来设置运行服务器，使用远程登录服务以监控进程等。那么这个工具将对大家十分有帮助，甚至我们都不需要使用 SSH 访问服务器以完成训练。机器之心简要介绍了该工具，更详细的内容请查看该 GitHub 项目。项目地址：https://github.com/jgreenemi/Parris 安装我们需要一个 AWS 账户，并将 AWS 证书加载到工

09

7 个数据平台，1 套元数据体系，小米基于 Gravitino 的下一代资产管理实践

导读：业界一直希望统一元数据，从而实现多产品间的一致体验：无论是数据开发、数据消费还是数据治理，所有用户都能基于一套元数据体系，采用相同的资源描述方式，这无疑能极大地提升用户体验。然而真正做到 “多云多数据源多引擎” 下的元数据统一，是非常难的，首先面临的是组织障碍，很多大厂也并未真正实现 “资源坐标统一、权限统一、资产一体化”，这些问题本身就很有挑战。得益于开源与组织时机，小米基于 HMS 与 Metacat 实现了元数据的统一，也借此实现了将 7 个数据平台统一为 1 个平台。随着湖仓与 AI 的发展，统一元数据面临新的挑战，尤其是 Data AI 资产一体化，Metacat 很难满足需要，小米希望借助 Gravitino 替代 HMS 与 Metacat，真正实现元数据的多场景统一，从而获得元数据在湖仓与 AI 方面的持续迭代。

01

小米数据平台

导读：业界一直希望统一元数据，从而实现多产品间的一致体验：无论是数据开发、数据消费还是数据治理，所有用户都能基于一套元数据体系，采用相同的资源描述方式，这无疑能极大地提升用户体验。然而真正做到 “多云多数据源多引擎” 下的元数据统一，是非常难的，首先面临的是组织障碍，很多大厂也并未真正实现 “资源坐标统一、权限统一、资产一体化”，这些问题本身就很有挑战。得益于开源与组织时机，小米基于 HMS 与 Metacat 实现了元数据的统一，也借此实现了将 7 个数据平台统一为 1 个平台。随着湖仓与 AI 的发展，统一元数据面临新的挑战，尤其是 Data AI 资产一体化，Metacat 很难满足需要，小米希望借助 Gravitino 替代 HMS 与 Metacat，真正实现元数据的多场景统一，从而获得元数据在湖仓与 AI 方面的持续迭代。背景和概要介绍

01

基于AWS EKS的K8S实践 - 集群搭建

基于AWS EKS的K8S实践系列文章是基于企业级的实战文章，一些设置信息需要根据公司自身的网络等要求进行设置，如果大家有问题讨论或咨询可以后台私信我或者加入知识星球问我，知识星球的加入方式在文章末尾。

04

从五个方面入手，保障微服务应用安全

随着计算机、互联网技术的飞速发展，信息安全已然是一个全民关心的问题，也是各大企业非常重视的问题。企业一般会从多个层次着手保障信息安全，如：物理安全、网络安全、系统安全(主机和操作系统)、应用安全等。

02

Cloud-Security-Audit：一款基于Go的AWS命令行安全审计工具

cloud-security-audit是一款适用于AWS的命令行安全审计工具。它可以帮助你扫描AWS账户中的漏洞，你将能够快速识别基础架构中不安全的部分，并执行对AWS账户的审计工作。

02

如何设置Ansible AWS的动态清单

当您将Ansible与AWS结合使用时，维护清单文件将是一项繁重的任务，因为AWS经常更改IP，自动缩放实例等。但是，有一个简单的解决方案就是ansible动态清单。它基本上是一个Python脚本，当您运行ansible命令时会进行API调用以获取实例信息。这将为您提供动态清单详细信息，这些信息可以用来方便管理AWS基础架构。

02

如何使用AWS EC2+Docker+JMeter构建分布式负载测试基础架构

本文介绍有关如何使用AWS EC2+Docker+JMeter创建分布式负载测试基础架构。完成所有步骤后，得到的基础结构如下:

04

云安全：内部共享责任模型

在最近发生的主要云安全事件中，Capital One公司的数据泄露事件影响了美国的1亿人和加拿大的600万人。其实并不只有Capital One公司遭遇网络攻击，黑客Paige A. Thompson与此同时窃取了其他三十多家公司、教育机构和其他实体的数TB的数据。

02

【应用安全】什么是身份和访问管理 (IAM)？

身份和访问管理 (IAM) 是一个安全框架，可帮助组织识别网络用户并控制其职责和访问权限，以及授予或拒绝权限的场景。IAM 通常指的是授权和身份验证功能，例如：

01

云的声音｜浅谈云上攻防之——元数据服务带来的安全挑战

前言在针对云上业务的的攻击事件中，很多攻击者将攻击脆弱的元数据服务作为攻击流程中重要的一个环节并最终造成了严重的危害。以2019年的美国第一资本投资国际集团（CapitalOne）信息泄露事件举例，根据《ACase Study of the Capital One Data Breach》报告指出，攻击者利用CapitalOne部署在AWS云上实例中的SSRF漏洞向元数据服务发送请求并获取角色的临时凭证，在获取角色临时凭据后将该角色权限下的S3存储桶中的数据复制到攻击者的本地机器上，最终导致这一

02

AWS 瘫痪：互联网“半壁江山”出现了网页打开缓慢或故障

一些AWS云服务器遭遇的问题导致互联网的“半壁江山”出现了网页打开缓慢或故障。亚马逊庞大的数据中心网络为众多在线服务和网站提供支持，因此正如我们在之前的AWS故障事件中看到的那样，AWS的任何问题都会产生巨大的连锁效应。许多人在美国东部时间上午10点45分左右开始注意到问题。虽然一些依赖AWS的受影响服务已经恢复，但互联网的运行仍然比平常要慢一点，而且较不稳定。受故障影响的最重要的软件应用可能是亚马逊员工在使用的那些应用。CNBC指出，亚马逊Flex员工、仓库员工和送货员工在Reddit上纷纷吐槽，声称

02

走好这三步，不再掉进云上安全的沟里！

一直以来，公有云安全是横亘在广大用户面前的一道鸿沟。云安全（Cloud Security）是指用于控制云计算的安全性、合规性和其他使用风险的过程、机制和服务。公有云提供商们都强调安全是其最高优先级工作，动辄就发布上百页的云上安全最佳实践白皮书，举办几百几千人安全大会，发布几十甚至上百个安全服务。但与此同时，用户们对云上安全的担心一直挥之不去。在福布斯（Forbes）2019年的一份报告中，66%的IT从业人员认为安全是他们使用公有云服务最大的担心。Gartner预测到2020年，至少50%的企业用户会在不知情或误操作地将一些IAAS存储服务、网络、应用或API直接暴露到互联网上，而到2023年，至少99%的云上安全问题都是用户的错误引起的。

02

译 | 在 App Service 上禁用 Basic 认证

App Service 使用网站的发布配置文件中的基本身份验证凭据访问 FTP 和 WebDeploy。这些API非常适合浏览站点的文件系统，上传驱动和应用程序，以及通过MsBuild进行部署。但是，企业通常需要满足安全要求，而宁愿禁用此基本身份验证访问，以便员工只能通过由 Azure Active Directory（AAD）支持的API来访问公司的 App Services。

02

MetaHub：一款针对漏洞管理的自动化安全上下文信息扩充与影响评估工具

在该工具的帮助下，广大研究人员可以完善漏洞管理工作流，并根据当前安全上下文来扩充安全分析信息，从而更好地评估安全风险所带来的影响。MetaHub提供了一系列技术方法来枚举、管理和输出我们的安全发现，以更好地对事件进行调查，并于其他工具集成。该工具支持以单独的CLI工具使用，或在自动化工作流中使用。该工具还支持不同的输出，其中包括JSON、HTML、XLSX和CSV。

01

Netflix的DevSecOps最佳实践

Netflix这家公司作为科技股新贵FAANGS里的当红辣子鸡，市值是5.33个百度，国内竟然鲜有文章谈论这家公司的安全机制，只有少量的报道说到了混沌工程，谈到了14年Netflix推出了Security Monkey，使之可以记录并标记一个帐号的修改，同时对配置进行审核，确保符合AWS云上的安全标准。

02

【应用安全】什么是联合身份管理？

介绍联合身份管理是一种可以在两个或多个信任域之间进行的安排，以允许这些域的用户使用相同的数字身份访问应用程序和服务。这称为联合身份，使用这种解决方案模式称为身份联合。联合身份管理建立在两个或多个域之间的信任基础之上。例如，信任域可以是合作伙伴组织、业务单位、子公司等。在当今的任何数字组织中，身份和访问管理 (IAM) 是一项专门的功能，委托给称为身份代理的服务提供商。这是一项专门在多个服务提供商之间代理访问控制的服务，也称为依赖方。联合身份管理是跨组织的两个或多个提供者之间做出的安排。根据身份代理

02

【ASP.NET Core 基础知识】--部署和维护--部署ASP.NET Core应用程序

打包应用程序是将ASP.NET Core应用程序准备好以便于部署到目标环境的关键步骤之一。在本文中，我们将从编译代码、收集依赖项和设置配置三个方面详细讲解如何打包ASP.NET Core应用程序，以确保在部署过程中的顺利进行。

00

DevOps: 实施端到端CI/CD管道

持续集成和持续交付 (CI/CD) 在现代软件开发中至关重要，有助于实现自动化代码集成和可靠的应用程序交付。 Jenkins 以其灵活性和广泛的插件选项而闻名，是创建 CI/CD 管道的领先工具。

01

Fortify软件安全内容 2023 更新 1

Fortify 软件安全研究团队将前沿研究转化为安全情报，为 Fortify 产品组合提供支持，包括 Fortify 静态代码分析器（SCA）和 Fortify WebInspect。如今，Fortify 软件安全内容支持 30 种语言的 1，399 个漏洞类别，涵盖超过 100 万个单独的 API。

03

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭