问题标签 [cloud-security]

与此类似：如何通过云功能将 GCP 的安全中心资产导出到云存储？

我需要将 Security Command Center 中的结果导出到 BigQuery，以便我们可以轻松过滤所需的数据并生成自定义报告。

以本文档为例（https://cloud.google.com/security-command-center/docs/how-to-api-list-findings#python），我写了以下内容：

但是，这给了我错误：

“json_rows 参数应该是一个字典序列”。

对此的任何帮助将不胜感激:)

我的公司有 2 个 AWS 账户。在第一个（我们称之为游乐场）上，我拥有完全的管理权限。在第二个（让我们称之为生产）我有有限的 IAM 权限

我在两个账户上都启用了 AWS Config（使用附录中的 terraform 文件）。

• 在操场上它运行顺利，一切都很好。
• 一个生产，它失败了。更具体地说，它无法检测到帐户的资源，并显示“正在发现您的资源”消息，如下面的屏幕截图所示。

我最初怀疑这可能是 IAM 角色权限问题​​。

例如跑步

aws configservice list-discovered-resources --resource-type AWS::EC2::SecurityGroup --profile playground 给我一个由 AWS Config 在操场上发现的 SecurityGroups 的列表（几乎是我在控制台仪表板上看到的）。

另一方面：

aws configservice list-discovered-resources --resource-type AWS::EC2::SecurityGroup --profile production返回一个空列表（虽然有安全组。其他类型的结果相同，例如AWS::EC2::Instance）

由于 IAM 角色确实有权进行描述 API 调用，因此我放弃了对 IAM 权限的怀疑。有用。只是它返回null。

可能是 AWS Config 角色AWSServiceRoleForConfig吗？它没有任何意义。由于这是一个服务相关角色，默认情况下它应该具有所有必需的权限。（不过会在帖子末尾附加政策）

现在奇怪的部分：

我的规则验证了一些资源（例如 EFS），但抛出了这个消息：The specified resource is either unknown or has not been discovered.

我仍然怀疑这可能是 IAM 问题，但我无法弄清楚发生了什么。我已经为此苦苦挣扎了好几天，我真的可以在这里使用一些帮助。

根据官方文档：

AWS Config 通过为您账户中的每个资源调用 Describe 或 List API 来跟踪对您的资源所做的所有更改。该服务使用这些相同的 API 调用来捕获所有相关资源的配置详细信息。

配置文件

默认 AWSServiceRoleForConfig 策略：

我在一个 IAM 由团队管理的组织中工作，我必须要求他们为我添加特定权限才能执行工作。他们永远不会让任何人完全访问特定服务，我完全同意这种立场。我经常面临的是我必须在多次迭代中提出多个请求。因为当我得到一个权限错误并得到修复时，我面临更多的权限问题。事先知道我需要哪些权限的最简单方法是什么？

我有一个 Java 程序，它需要访问 Amazon S3 才能将一些文件放在那里。请注意，这个 Java 程序正在我的桌面上运行（而不是在 EC2 中）。使用凭证访问 Amazon S3 的最佳安全方式是什么？以下是我知道的方式。

1. 使用访问令牌和秘密

   一种。在 sdk 属性文件中

   湾。作为环境变量

   C。在命令行系统属性中

   d。程序中直接硬编码

当然，出于安全原因，我更喜欢选项 b 和 c。

2. 这里是否有基于角色的权限？我的理解是这是不可能的，因为我的 Java 程序在 AWS 不知道的外部机器上运行。

3. 还有其他可能的访问方式吗？

提前致谢。

我正在尝试通过使用 RDP 从我的本地 Windows 机器（在 aws 之外）对 Windows 目标 ec2 主机进行暴力攻击来测试守卫。我可以看到，即使我尝试通过大约 1000 次登录尝试闯入它，但在 guardduty 控制台上也没有发现任何发现。

但是对另一个 ec2 实例（在 vpc 内部和外部）进行相同的练习会导致在 guardduty 控制台中创建结果。

这是否意味着 GuardDuty 仅适用于在 aws 前提下进行的攻击？

在对我们的云环境进行安全测试之前，我已经阅读了 GCP 的文档以了解可能的服务审批清单。不幸的是，我找不到任何此类信息。

我附上了 GCP 所需信息的示例屏幕截图。AWS 和 Azure 在其文档中提供了这些信息。

示例清单

我一直试图弄清楚如何通过 Powershell 配置 M365 租户中的一些安全设置。我正在管理控制台中查看隐私管理，它有一堆我需要的设置，例如主题权利请求的数据保留期。我无法在 Microsoft 文档中找到任何内容，但通过一些尝试和尝试，我找到了一个命令 - Get-PrivacyManagementRule。原来它有很多我正在寻找的设置。我目前不确定是否可以使用此命令，否则最终会弃用此命令，因为 Microsoft 提供的有关此命令的信息实际上为 0。有更多信息的人可以帮助我吗？

I'm trying to list all the buckets with some kind of public access in an account.

The question is: is my rationale correct?

1. I first checked buckets' access block configuration:

If any bucket is set to False on both BlockPublicAcls and BlockPublicPolicy, then it IS public. No matter how they configured on Policies and ACLs(correct?).

2. Then, I proceed to check the buckets' policy status:

If a bucket returns true for isPublic, then it IS public. No matter the previous function result.

3. In the last step, I check the buckets ACLs for AllUser and AuthenticadedUsers permissions:

When I print the full result, it outputs some buckets. All of them were caught in the first step:

Another question: Is it necessary to check the Objects' ACLs after going through all these steps? If yes, why?

我正在尝试使用boto3限制对一组存储桶的访问。

考虑到我正在处理大约 200 个存储桶，并且我必须创建一个回滚解决方案来撤消我将进行的更改，以防它影响到关键存储桶。

到目前为止，我的计划是：

1. 获取存储桶策略并将它们存储在日志文件中。
2. 使用 boto3 迭代存储桶，更改它们的策略以拒绝所有访问，除了我。
3. 如果有人要求撤消对某个存储桶的更改，请使用bucket_policy.put()重新插入步骤 1 中存储的策略。

这是最好的方法吗？

如果是这样，拒绝除我之外的所有人访问的特定存储桶策略是什么？

如何将非默认 Google 服务帐户凭据传递到Google Cloud Function 生产环境SecretManagerService或在其中传递？文档在这里。SecretManagerServiceClient

在本地运行时，我可以使用from google.oauth2.service_account import Credentials然后credentials = Credentials.from_service_account_file("some-file.json")最后secret_client = SecretManagerServiceClient(credentials)但是在部署到 GCP 时，我不希望凭据文件存储为源代码旁边的 json/txt 文件。

如果我为 App Engine 默认服务帐户提供 Secret Accessor 角色并SecretManagerServiceClient()在不使用参数的情况下使用，则脚本可以访问部署中的机密，但它是通过默认服务帐户进行的。我想使用范围有限的非默认帐户 Secret Manager Secret Accessor 仅用于进一步的安全性。

我发现这是一个相关的答案，但对googleapis.dev的快速搜索却一无所获SecretManagerServiceClientBuilder。