检测对敏感Google云资源的传递访问

Google Cloud资源的访问安全中,服务账户的传递访问是一个常见漏洞。用户通过服务账户身份验证后,将获得该账户的所有IAM权限。传递访问通常通过以下权限实现:iam.serviceAccounts.actAs、iam.serviceAccounts.getAccessToken等。检测传递访问需使用Google Policy Analyzer,并设置analysisQuery.options.analyzeServiceAccountImpersonation为true。此外,避免创建服务账户密钥是减少传递访问风险的最佳实践。P0工具可帮助快速识别资源的所有访问权限并进行风险评估。

阅读 31
0 条评论