Google cloud platform 如何在GCP中为IAM应用2fa、ACL
最近,GCP的IAM密钥暴露,安装了miner 对于AWS,使用访问密钥访问时可以设置2fa,或者只能从特定IP进行访问 如果有这样的设置,即使钥匙暴露在外,事故也不会立即发生 我在GCP中搜索了ACL和2FA设置,但没有键设置,只检查了实例访问设置 是否可以设置GCP的Web控制台访问、用于访问IAM密钥的2FA和IP ACL 此外,BigQuery需要基于IP的ACL,但在联系其他团队时,无法访问用于BigQuery访问的ACL,并且只能由IAM控制Google cloud platform 如何在GCP中为IAM应用2fa、ACL,google-cloud-platform,acl,google-2fa,Google Cloud Platform,Acl,Google 2fa,最近,GCP的IAM密钥暴露,安装了miner 对于AWS,使用访问密钥访问时可以设置2fa,或者只能从特定IP进行访问 如果有这样的设置,即使钥匙暴露在外,事故也不会立即发生 我在GCP中搜索了ACL和2FA设置,但没有键设置,只检查了实例访问设置 是否可以设置GCP的Web控制台访问、用于访问IAM密钥的2FA和IP ACL 此外,BigQuery需要基于IP的ACL,但在联系其他团队时,无法访问用于BigQuery访问的ACL,并且只能由IAM控制 如果IAM因用户错误而暴露,GCP是否有
如果IAM因用户错误而暴露,GCP是否有任何方法可以防止这种情况发生?您可以设置两步验证(2sv),在尝试访问GCP vm实例时触发该验证 按照此操作将2sv设置到您的实例 此外,还可以为托管服务(如bigQuery)添加额外的安全层 您可以通过此服务阻止特定的IP地址bia
这将对您使用VPC服务控制有很大帮助。您可以在IAM服务上实施2fa和IP控制(使用和) 谷歌尽其所能帮助您:
- 如果出现异常活动,例如miner安装了您的虚拟机,从而导致可疑的网络活动,支持人员将与您联系
- google会定期扫描公共存储库(如Github),如果发现服务帐户密钥文件,会通知您
- 平台为您提供了缓解风险的解决方案
- 上下文感知访问
- IAM状态
- 组织策略禁用生成服务帐户密钥文件的能力。只有一小部分用户能够在验证用户请求后生成它们。目标是限制密钥的数量,并仅在用例需要时生成它们
- SCC(安全指挥中心)发现可能会引发服务帐户上的原始角色:角色太多,请改用预定义角色
- IAM推荐人,建议您根据活动的最后90天减少许可范围
因此,有一套工具可以主动应对事件。谢谢。我原以为会有一些基本的安全功能,比如无条件的IP ACL,但即使我搜索了一下,也只列出了VM实例的2fa设置,所以我很担心。确定可以使用此功能执行对GCP基础设施的访问控制。