开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

CloudFormation IAM角色-- AssumeRolePolicyDocument

CloudFormation IAM角色是AWS CloudFormation中的一种资源类型，用于定义AWS Identity and Access Management（IAM）角色。IAM角色是一种AWS身份验证机制，用于控制和管理AWS资源的访问权限。

AssumeRolePolicyDocument是一个JSON格式的文档，用于定义IAM角色的信任策略。信任策略指定了哪些实体（如AWS账号、IAM用户、IAM角色等）可以扮演该角色，并获得该角色所拥有的权限。

IAM角色的优势包括：

无需使用长期凭证：IAM角色可以通过临时凭证进行身份验证，避免了长期凭证（如Access Key和Secret Access Key）的管理和潜在的安全风险。
跨账号访问：IAM角色可以被其他AWS账号中的实体扮演，实现跨账号资源访问和管理。
灵活的权限管理：IAM角色可以通过策略进行细粒度的权限控制，以满足不同实体对资源的不同访问需求。

CloudFormation中的IAM角色和AssumeRolePolicyDocument可以应用于各种场景，例如：

跨账号资源访问：通过定义适当的信任策略，允许其他AWS账号中的实体扮演IAM角色，实现跨账号资源的访问和管理。
临时访问权限：通过IAM角色的临时凭证，为应用程序或服务提供临时的访问权限，以便安全地访问其他AWS资源。
跨区域资源管理：通过IAM角色和信任策略，允许在不同AWS区域中的实体扮演角色，实现跨区域资源的管理和操作。

腾讯云提供了类似的产品和服务，可以用于实现类似的功能：

CAM（云访问管理）：CAM是腾讯云提供的身份和访问管理服务，可以创建和管理IAM角色，并定义信任策略。了解更多信息，请访问：https://cloud.tencent.com/product/cam
腾讯云API网关：API网关可以通过配置API密钥和访问控制策略，实现对API的访问控制和权限管理。了解更多信息，请访问：https://cloud.tencent.com/product/apigateway
腾讯云STS（临时安全令牌服务）：STS可以为应用程序提供临时的访问凭证，实现安全的跨账号和跨区域资源访问。了解更多信息，请访问：https://cloud.tencent.com/product/sts

相关搜索:使用cloudformation附加IAM角色 cloudformation堆栈使用的IAM角色通过cloudformation更新现有角色的iam策略仅使用托管cloudformation策略创建IAM角色 Cloudformation IAM策略原则上通过CloudFormation错误实现的IAM角色在IAM角色资源中使用QueuePolicy引用作为ManagedPolicy的CloudFormation角色？了解IAM角色您能否恢复IAM角色？IAM角色的奇怪行为 IAM: CloudFormation:用户不允许GetTemplateSummary 对多个IAM角色应用相同的IAM策略将多个IAM内联策略从cloudformation附加到同一角色 IAM角色vs. IAM用户无法调用Cognito ListUsers SAM模板中的IAM角色查找IAM角色上次使用日期使用IAM角色假设的Terraform 为特定域创建iam角色云函数IAM角色: 403禁止 IAM角色参考多个EKS OIDC

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

资源 | Parris：机器学习算法自动化训练工具

选自GitHub 机器之心编译参与：刘晓坤、路雪、蒋思源 Parris 是一个自动化训练机器学习算法的工具。如果各位读者经常需要构建并训练机器学习模型，且花费很多时间来设置运行服务器，使用远程登录服务以监控进程等。那么这个工具将对大家十分有帮助，甚至我们都不需要使用 SSH 访问服务器以完成训练。机器之心简要介绍了该工具，更详细的内容请查看该 GitHub 项目。项目地址：https://github.com/jgreenemi/Parris 安装我们需要一个 AWS 账户，并将 AWS 证书加载到工

09

Serverless 应用开发指南：serverless 的 hello, world

在翻译了几篇 serverless 与物联网相关的文章之后，我开始想着好好掌握一下 serverless 的相关知识。我对于 serverless 的第一认知是：Serverless 是由一堆云服务构建后端服务的，如存储、计算、授权都是由不同的服务来构建的。而作为一个开发人员，我们所要做的就是了解如何搭配不同的云服务。因此，在进行更多的定义之前，我打算先熟悉一下 serverless，以便于我更好地了解什么是 serverless 应用开发。 Serverless 框架 hello, world 考虑到

08

使用 AWS CDK Python 从零开始构建 EKS 集群

上篇文章《AWS CDK | IaC 何必只用 Yaml》笔者介绍了 AWS CDK 的概念和基本使用方法，本篇文章就来使用 CDK 在 AWS 从零开始构建一个全新的 KES 集群，实际感受一下使用 AWS CDK 创建和管理云资源的简单和便捷。

01

AWS CDK | IaC 何必只用 Yaml

近年来基础设施即代码（IaC）的方式被越来越多的开发者和管理者所采用，各大公有云都提供了使用 IaC 管理自己云资源的方式，如 AWS 的 CloudFormation、阿里云的 ROS 等，而第三方的 Terraform 也有各大公有云的 Provider。越来越多像我一样的云资源运维和管理者开始采用 IaC 的方式对云资源进行创建、运维和管理。

02

AMBERSQUID 云原生挖矿恶意软件疑似与印尼黑客有关

Sysdig 的研究人员发现了一种新的云原生挖矿攻击行动，并将其命名为 AMBERSQUID。攻击针对不太常用的 AWS 服务，如 AWS Amplify、AWS Fargate 和 Amazon SageMaker。这些不常见的服务往往意味着其安全性也会被忽视，AMBERSQUID 可能会让受害者每天损失超过 1 万美元。

03

基础设施即代码的历史与未来

基础设施即代码（Infrastructure as Code）是软件开发中一个引人入胜的领域。虽然作为一门学科，它相对年轻，但在其短暂的存在期间，它已经经历了几次具有开创性意义的转变。我认为它是当今软件开发创新最热门的领域之一，许多参与者——从大型科技公司到初创企业——都在创造新的方法。如果完全实现，这些方法有可能彻底改变我们编写和部署软件的方式。

01

Fortify软件安全内容 2023 更新 1

Fortify 软件安全研究团队将前沿研究转化为安全情报，为 Fortify 产品组合提供支持，包括 Fortify 静态代码分析器（SCA）和 Fortify WebInspect。如今，Fortify 软件安全内容支持 30 种语言的 1，399 个漏洞类别，涵盖超过 100 万个单独的 API。

03

AWS攻略——使用CodeBuild进行自动化构建和部署Lambda（Python）

Aws Lambda是Amazon推出的“无服务架构”服务。我们只需要简单的上传代码，做些简单的配置，便可以使用。而且它是按运行时间收费，这对于低频访问的服务来说很划算。具体的介绍可以常见aws lambda的官网。（转载请指明出于breaksoftware的csdn博客）

01

蜂窝架构：一种云端高可用性架构

蜂窝架构是一种有助于在多租户应用程序中实现高可用性的设计模式。其目标是在设计应用程序时将所有组件部署到一个完全自给自足的隔离“单元”中，然后创建许多这种“单元”的离散部署，它们之间没有任何依赖关系。

01

Nebula云渗透工具

Nebula是一个云和DevOps渗透测试框架，它为每个提供者和每个功能构建了模块，截至 2021年4月，它仅涵盖AWS，但目前是一个正在进行的项目，有望继续发展以测试GCP、Azure、Kubernetes、Docker或Ansible、Terraform、Chef等自动化引擎

03

创建 EKS 管理员

EKS 管理员不仅需要登录管理控制台，也需要通过 eksctl 管理集群，还需要能够管理 EC2 和 CloudFormation 等资源，所以需要较高的权限。

01

CloudFox：一款针对云环境渗透测试的自动化安全态势感知工具

CloudFox是一款针对云环境渗透测试的自动化安全态势感知工具，该工具可以帮助广大研究人员以自动化的形式在自己并不熟悉的云环境中获得环境安全态势感知。该工具是一个开源的命令行工具，旨在帮助渗透测试人员和红队安全专业人员在云基础设施中找到可利用的攻击路径，并以此来提升云端环境的安全性。

01

具有EC2自动训练的无服务器TensorFlow工作流程

机器学习训练工作通常是时间和资源密集型的，因此将这一过程整合到实时自动化工作流程中可能会面临挑战。

01

在K8s上轻松部署Tungsten Fabric的两种方式

首先介绍下如何在AWS上使用Kubernetes编排的Tungsten Fabric集群部署沙盒，15分钟就可以搞定。Tungsten Fabric集群由部署节点、一个控制器节点、两个作为EC2 VM运行的计算节点组成。

04

浅谈云上攻防系列——云IAM原理&风险以及最佳实践

云上身份和访问管理功能简介身份和访问管理是什么？关于这个问题，Gartner Information Technology Glossary中给出了关于IAM的定义：“Identity and access management (IAM) is the discipline that enables the right individuals to access the right resources at the right times for the right reasons”。与之类似，云上身份

04

Repokid：一款针对AWS的分布式最小权限高速部署工具

Repokid是一款针对AWS的分布式最小权限高速部署工具，该工具基于Aardvark项目的Access Advisor API实现其功能，可以帮助广大研究人员根据目标AWS账号中的IAM角色策略移除多余服务被授予的访问权限。

01

【云原生攻防研究】针对AWS Lambda的运行时攻击

笔者在上一篇文章《Serverless安全研究— Serverless安全风险》中介绍了责任划分原则。对于开发者而言， Serverless因其服务端托管云厂商安全能力强的特点，实际上降低了总体的安全风险。

02

云计算支持IT安全的12种方式

企业在采用云计算技术时，可以摆脱获取和维护物理IT基础设施的负担，这意味着企业的安全部门不再对物理基础设施的安全负责。云计算的共享安全模型规定，例如AWS和Azure等云计算服务提供商(CSP)需要负责物理基础设施的安全性。用户自己负责安全使用云计算资源。然而，关于共享责任模型存在很多误解，这带来了风险。

03

网络安全架构 | IAM（身份访问与管理）架构的现代化

IAM（身份和访问管理）通常负责用户需要访问的各种系统中的身份生命周期管理，包括入职、离职、角色变更。尽管IAM解决方案已经在市场上销售了30多年，但仍被认为是极其复杂的，非常耗费时间和耗费资源。

03

如何用Amazon SageMaker 做分布式 TensorFlow 训练？（千元亚马逊羊毛可薅）

TensorFlow 是广泛被用于开发大型深度神经网络 (DNN) 的开放源机器学习 (ML) 库，此类 DNN 需要分布式训练，并且在多个主机上使用多个 GPU。Amazon SageMaker 是一项托管服务，可通过主动学习、超参数优化、模型分布式训练、监控训练进展，部署培训模型作为自动扩展的 RESTful 服务，以及对并发 ML 实验进行集中式管理，从标签数据开始简化 ML 工作流。

03

RSAC 2024创新沙盒｜P0 Security的云访问治理平台

P0 Security公司于2022年在加利福尼亚州成立，该公司为安全工程师提供其所在公司云资源的安全访问和权限配置服务。安全工程师可以使用P0 Security来识别哪些云身份（人或机器）具有特权访问权限并标记风险。同时P0 Security以开发人员的用户体验为出发点，自动化地设置云资源的细粒度、及时和短暂的访问特权并授予用户。公司成立当年即获得500万美元融资[1]。

01

使用Red-Shadow扫描AWS IAM中的安全漏洞

Red-Shadow是一款功能强大的AWS IAM漏洞扫描工具，该工具可以帮助你扫描AWS IAM中的错误配置与安全漏洞。

03

基于AWS EKS的K8S实践 - 集群搭建

基于AWS EKS的K8S实践系列文章是基于企业级的实战文章，一些设置信息需要根据公司自身的网络等要求进行设置，如果大家有问题讨论或咨询可以后台私信我或者加入知识星球问我，知识星球的加入方式在文章末尾。

04

AWS攻略——一文看懂AWS IAM设计和使用

一言以蔽之，AWS IAM就是为了管理：谁（不）可以对什么做什么。（转载请指明出于breaksoftware的csdn博客）

01

AWS Glue漏洞可以让其他人接管云服务：凸显公共云的信任风险

知名的云服务提供商很容易被人利用，原因是使用受信任的核心服务，可以将单单一个漏洞变成全球性攻击。 AWS Glue漏洞的攻击链云安全公司Orca Security在1月13日发布的分析报告中表示，AWS已堵住了其核心服务中的两个漏洞，其中一个漏洞可能让任何用户都可以访问和控制任何一家公司的基础架构。虽然这两个漏洞现已修复，但整条攻击链（感染核心服务、提升权限以及使用该权限攻击其他用户）并不仅限于亚马逊这一家。Orca Security的首席技术官Yoav Alon表示，这种方法影响其他许多云供应商。他

01

深入了解IAM和访问控制

本文为InfoQ中文站特供稿件，首发地址为：http://www.infoq.com/cn/articles/aws-iam-dive-in。访问控制，换句话说，谁能在什么情况下访问哪些资源或者操作，是绝大部分应用程序需要仔细斟酌的问题。作为一个志存高远的云服务提供者，AWS自然也在访问控制上下了很大的力气，一步步完善，才有了今日的 IAM：Identity and Access Management。如果你要想能够游刃有余地使用AWS的各种服务，在安全上的纰漏尽可能地少，那么，首先需要先深入了

08

避免顶级云访问风险的7个步骤

在云中确保身份和数据的安全对于很多组织来说是一种挑战，但是最低权限的访问方法会有所帮助。

01

【Amazon】跨AWS账号资源授权存取访问

本次实验，将允许指定的一个AWS账号访问另一个AWS账号中的资源（如，S3资源），且其他AWS账号均无法进行访问。

02

怎么在云中实现最小权限?

根据云计算权威组织云安全联盟(CSA)对241位行业专家的最新调查，云计算资源配置错误是导致组织数据泄露的主要原因。

00

ec2安装CloudWatchAgent

一、背景二、创建IAM角色和用户三、配置CloudWatch代理日志保留策略四、下载并安装代理安装包五、创建CloudWatch代理配置文件六、运行CloudWatchAgent参考

02

AWS简单搭建使用EKS二

紧接AWS简单搭建使用EKS一，eks集群简单搭建完成。需要搭建有状态服务必然就用到了storageclass 存储类，这里用ebs记录以下

03

【openstack】swift

[root@localhost ~]# yum install -y iaas-xiandian

03

在AWS云上的SAP

虽然最近亚马逊在迁离Oracle的数据库，使用Aurora PostgreSQL导致Prime Day促销日出现故障，但这似乎并不影响Amazon Aurora 数据库的推进，并且亚马逊一直在说Amazon Aurora兼容MySQL和PostgreSQL，是一种将数据库迁移到云的优秀工具。可见其要脱离Oracle的决心。而SAP也做出了同样的事情，在以前的SAP ERP系统里，SAP一直使用着别人的数据库，比如Oracle，后来SAP推出了HANA内存数据库，在S/4 HANA系列版本中，成功的使用了自己研发的数据库。可以看出这两家企业都想离开Oracle，所以合作是必然的事。

01

每周云安全资讯-2022年第31周

1 对Kubernetes 的 AWS IAM Authenticator的身份验证利用在这篇博文将介绍在 AWS IAM Authenticator 中检测到的三个漏洞，所有这些漏洞都是由同一代码行引起的 https://mp.weixin.qq.com/s/PJ5YqSxHttgjKZXVkxqIcQ 2 详细案例教会你如何在AWS中链接漏洞getshell和访问数据本文为旧金山湾区的OWASP会上演讲，关于在AWS EC2实例中使用错误配置、公开允许的IAM策略和应用程序安全漏洞getshell

04

一文读懂认证、授权和SSO，顺便了解一下IAM

在介绍零信任和SASE相关主题的时候，我们提到一个重要的组件：IAM（Identity and Access Management）。可以说它是整个系统的大门，扼守重要关口，重要性非同一般。

03

从Wiz Cluster Games 挑战赛漫谈K8s集群安全

11月初，云安全公司WIZ发起了一项名为“EKS Cluster Games”的CTF挑战赛[1]，引发了众多云安全爱好者的参与。本次挑战赛的主题是关于容器集群的攻击技巧。比赛共包括5个场景，整体存在一定的难度，非常值得挑战和学习。

01

Concrete CMS 漏洞

我们之前在这里写过关于混凝土 CMS 的文章。在那篇文章中，我们描述了我们如何设法利用文件上传功能中的双重竞争条件漏洞来获得远程命令执行。在这篇博文中，我们将展示我们在去年年底对我们的一位客户进行渗透测试时发现的 Concrete CMS 中的多个漏洞。所有这些漏洞都已修复，我们要感谢他们的团队在这些问题上的合作。有关更多信息，请参阅“缓解措施”部分，了解有关解决密码中毒问题的安全提示以及有关提高此 CMS 安全性的其他提示。

04

AWS 容器服务的安全实践

随着微服务的设计模式得到越来越多开发者的实践，容器和微服务已经在生产环境中开始了规模化的部署。在这一过程中，也面临着越来越多的挑战。比如说，很多的微服务之间是相互依赖的，我们需要有更多的手段和方式来进行微服务的计划，扩展和资源管理，另外微服务之间的隔离更少，它们通常会共享内核或者网络，也对安全性提出了更高的要求。

02

从五个方面入手，保障微服务应用安全

随着计算机、互联网技术的飞速发展，信息安全已然是一个全民关心的问题，也是各大企业非常重视的问题。企业一般会从多个层次着手保障信息安全，如：物理安全、网络安全、系统安全(主机和操作系统)、应用安全等。

02

（译）Zalando 是如何管理 140 多个 Kubernetes 集群的

最近我接到一个问题：“你是如何管理这么多 Kubernetes 的？”。本文试图揭示 Zalando 在 AWS 管理 140 多个 Kubernetes 集群的秘密。

02

如何使用Metabadger帮助AWS EC2抵御SSRF攻击

Metabadger是一款功能强大的SSRF攻击防护工具，该工具可以帮助广大研究人员通过自动升级到更安全的实例元数据服务v2（IMDSv2），以防止网络犯罪分子对AWS EC2发动SSRF攻击。

03

私有云下的身份与管理解决方案

信息化时代，企业分布式管理模式的广泛应用使当今的IT系统管理变得复杂，企业必须提供一个全方位的资源审视以确保企业资源的有效访问和管理。而云计算的不断发展使得众企业将服务迁往云中以获得更高的利益。企业迁入云中后，信息资源放在云端，其安全性又受到了新的威胁。为了提高云中各系统资源的安全性，企业必须提供更高层次的保密性以实现对云中资源的安全访问和管理。构建云环境下安全有效的资源访问以实现业务逻辑的增值已成为众多企业的最新选择。身份与访问安全集中管理系统(IdentITy and Access Manageme

08

重新思考云原生身份和访问

根据 Gartner 的数据，身份和访问管理 (IAM) 市场是一个庞然大物：数百家供应商，预计 2024 年市场规模将达到 190 亿美元。

01

为什么Spinnaker对CI / CD至关重要［DevOps］

Spinnaker提供了独特的构建基块，以创建量身定制的，高度协作的连续输送管道。和他们一起去参加Spinnaker峰会吧。

如何查找目标S3 Bucket属于哪一个账号ID

S3 Account Search可以帮助广大研究查找目标S3 Bucket属于哪一个账号ID。为了实现这个功能，我们需要拥有至少下列权限之一：

03

通过Kyverno使用KMS、Cosign和工作负载身份验证容器镜像

随着软件供应链攻击的增加，保护我们的软件供应链变得更加重要。此外，在过去几年中，容器的采用也有所增加。有鉴于此，对容器镜像进行签名以帮助防止供应链攻击的需求日益增长。此外，我们今天使用的大多数容器，即使我们在生产环境中使用它们，也容易受到供应链攻击。在传统的 CI/CD 工作流中，我们构建镜像并将其推入注册中心。供应链安全的一个重要部分是我们构建的镜像的完整性，这意味着我们必须确保我们构建的镜像没有被篡改，这意味着保证我们从注册中心中提取的镜像与我们将要部署到生产系统中的镜像相同。证明镜像没有被篡改的最简单和最好的方法之一（多亏了 Sigstore）是在构建之后立即签名，并在允许它们部署到生产系统之前验证它。这就是 Cosign 和 Kyverno 发挥作用的地方。

02

Pacu工具牛刀小试之基础篇

随着时间的高速发展，社会的不断进步……亚马逊公司推出了AWS云计算平台，有越来越多公司或是大佬们的首选，为了能够跟得上大佬们的步伐，斗哥也决定入坑了。正所谓工欲善其事，必先利其器，因此，斗哥想先向大家介绍一款工具----Pacu（一款基于AWS渗透测试的框架）。

04

玩转企业云计算平台系列（十一）：Openstack 编排服务 Heat

OpenStack Heat 是一个基于模板的编排服务，用于自动化部署和管理基础设施资源。它允许用户通过编写模板文件来描述所需的基础设施资源和配置，然后使用 Heat 引擎来解析和执行这些模板，自动创建、配置和管理云环境中的资源。

01

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭