• 登入
  • 註冊網站會員
CIO Taiwan
  • 活動
  • 影音
  • 趨勢分析
  • CIO 雜誌
  • CISO精選
  • 電子報
  • 下載
  • 聯繫我們
沒有結果
查看所有結果
CIO Taiwan
沒有結果
查看所有結果
首頁 精選文章

IAM 權限設定不當造成離職員工帳號被濫用

2025-04-23
分類 : 精選文章
0
A A
0
IAM 權限設定不當造成離職員工帳號被濫用

Image generated by GhatGPT

雲端參數調教工作坊系列報導五

企業若未能妥善管理雲端 IAM(Identity and Access Management)帳號,離職員工的帳號可能成為潛在的安全風險。這類帳號若仍保有高權限,不僅可能導致企業數據外洩,甚至可能被濫用來執行高成本的雲端資源操作,帶來財務與營運風險。

文/果核數位雲端實驗室


在現代企業雲端架構中,IAM 權限管理至關重要。然而,許多企業往往忽略了對離職員工帳號的適時清理,導致帳號被不當使用,進而產生潛在資安威脅。本案例探討某企業因 IAM 權限配置不當,導致前員工利用殘存帳號在雲端環境執行未授權操作,最終造成大量資源消耗與營運成本飆升。

內容目錄 隱藏
雲端參數調教工作坊系列報導五
企業簡介與服務概述
事件經過與帳號濫用行為
技術分析與核心問題
事件處理與後續調整
雲端安全配置與建議
AWS 雲端環境安全強化
結語與啟示

企業簡介與服務概述

B 企業是一家提供線上教育與雲端儲存解決方案的科技公司,主要客戶來自教育機構與企業培訓單位。該企業的雲端基礎架構主要運行於 AWS,並依賴 EC2、S3、Lambda 及 RDS 提供即時數據處理與內容分發。

事件經過與帳號濫用行為

某日,B 企業的運維部門透過監控雲端帳單,跳出告警後發現短時間內費用大幅增加,高規格的雲端運算資源數量異常飆升。進一步調查後,運維部門發現有一個 IAM 使用者帳號在離職員工名單中,卻仍持續存取企業的 AWS 環境。

[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球CIO同步獲取精華見解 ]

該帳號雖然原本屬於一名前 DevOps 工程師,但在其離職後並未被即時停用。該前員工利用此帳號進行以下行為:
‧開啟大量 EC2 執行個體:建立多個高 CPU 執行個體,用於個人深度學習專案,導致企業雲端費用異常飆升。
‧存取 S3 並下載內部數據:該帳號擁有 S3 讀寫權限,該員工下載了內部訓練數據,造成潛在資料外洩風險。
‧修改 IAM 設定:該員工利用帳號殘存的管理權限,嘗試建立新的 IAM 使用者,試圖繞過企業安全防護機制,擴大對 AWS 資源的存取權限。

技術分析與核心問題

本次事件的核心問題包括:
‧離職帳號未停用:企業未能即時撤銷離職員工的 IAM 權限,使其帳號在雲端環境中仍具存取能力。
‧缺乏權限最小化管理:該帳號原本擁有管理級權限,沒有針對職務需求進行權限限制,導致離職後仍可進行關鍵操作。
‧日誌與異常存取監控不足:企業未設置有效的 CloudTrail 與 CloudWatch 警報,導致異常存取行為未能被即時發現。

事件處理與後續調整

在發現異常後,B 企業的運維部門迅速採取以下應對措施:
‧立即停用該帳號,撤銷所有 IAM 權限。
‧回溯 AWS CloudTrail 日誌,確認該帳號存取的所有資源,並檢查是否有數據外洩跡象。
‧強制更新所有 AWS 憑證與存取金鑰,確保其他帳號未遭濫用。
‧強制啟用 IAM 使用者 MFA(多因素驗證),避免類似事件發生。
‧重新審視 IAM 權限配置,確保所有帳號均遵守最小權限原則(Least Privilege)。

雲端安全配置與建議

為避免類似事件再次發生,企業應採取以下雲端安全最佳實踐:

‧定期審查 IAM 帳號與權限:停用閒置帳號並降低高風險權限,或是掛上 DenyAll 權限(如圖一),關閉此使用者所有權限,並確保所有帳號都遵循最小權限原則(Least Privilege)。

I166d12圖一
◤ 圖一、停用閒置帳號並降低高風險權限

‧啟用 AWS IAM Access Analyzer(如圖二):用於檢測過度授權的 IAM 權限,確保沒有不必要的存取權限。

◤ 圖二、啟用 IAM Access Analyzer

‧強制啟用 MFA : 設定二階段驗證(如圖三),確保帳號存取安全性。

◤ 圖三、啟用 MFA


‧設定 CloudWatch 與 CloudTrail 警報:即時監控異常存取行為,如根帳號的存取請求(如圖四)。

◤ 圖四、設定 CloudWatch 與 CloudTrail 警報

‧使用 AWS Organizations 與 SCP(Service Control Policies):限制特定帳號的高風險操作,例如禁止 IAM 變更權限(如圖五)。

◤ 圖五、使用 SCP 管理 AWS 組織及帳號

AWS 雲端環境安全強化

AWS 提供多種服務來加強雲端環境的安全性,企業可採取以下措施:

‧AWS Identity Center(前稱 AWS SSO):透過單一登入(SSO)集中管理 IAM 權限,減少過度授權的風險。(如圖六)

◤ 圖六、使用 IAM Identity Center 集中管理 IAM 權限

‧Amazon GuardDuty:監控異常行為並偵測可疑的 IAM 活動,例如來自不明 IP 的登入或大量 API 呼叫。(如圖七)

◤ 圖七、使用 GuardDuty 監控異常行為

‧AWS Security Hub:聚合多個安全工具(如 GuardDuty、CloudTrail、Macie),提供統一的安全態勢監控。(如圖八)

I166d12圖八
◤ 圖八、啟用 Security Hub

結語與啟示

本案例強調了雲端 IAM 權限管理的重要性,以及企業內部帳號管理不當可能導致的風險。透過良好的存取控制策略與 AWS 提供的安全工具,如 IAM Identity Center、GuardDuty 和 Security Hub,企業可有效降低此類事件發生的可能性。隨著企業雲端環境的日益擴展,唯有透過持續監控與權限最小化策略,才能確保企業雲端資源的安全與成本控制。


(本文授權非營利轉載,請註明出處:CIO Taiwan)

上一篇文章

雲端成本失控!識別、控制與最佳化策略

下一篇文章

Level 3 自駕與 AI 充電系統獲獎 經濟部推動智慧車輛產業鏈

相關文章

1d11_1
精選文章

Harness Engineering 與 FDE 崛起 落實 AI 轉型

2026-07-02
從五層 AI 供應鏈到三層現實治理:CIO 如何讓 AI 真正創造價值
精選文章

從五層 AI 供應鏈到三層現實治理:CIO 如何讓 AI 真正創造價值

2026-06-28
別再要求 IT 讀心術:當 IT 被迫發明需求時,治理其實已經失敗
精選文章

別再要求 IT 讀心術:當 IT 被迫發明需求時,治理其實已經失敗

2026-06-13
下一篇文章
Whandnews Image

Level 3 自駕與 AI 充電系統獲獎 經濟部推動智慧車輛產業鏈

2026 Elite Vendor

追蹤我們的 Facebook

近期文章

  • SentinelOne AI 全棧式安全平臺邁向自動化 SOC
  • Dynatrace以確定性AI建立信任,驅動代理自主維運
  • Al Agent 治理 萬里雲以 Apigee 築起零信任防線
  • Confluent數據驅動AI落地 偉康成就金融智能樞紐
  • 突破預算枷鎖 萬里雲推 Self-Funding 戰略轉型

📈 CIO點閱文章週排行

  • 【醫療轉型】屏東義大攜手思科建構「數位免疫網」:打造智慧醫療新典範,讓醫學中心照護深入偏鄉

    【醫療轉型】屏東義大攜手思科建構「數位免疫網」:打造智慧醫療新典範,讓醫學中心照護深入偏鄉

    0 分享
    分享 0 Tweet 0
  • 群聯電子攜手新立資訊導入 SynxDB,打造高效能數據平台,加速良率分析與 AI 應用布局

    0 分享
    分享 0 Tweet 0
  • 醫療業:AI 眼鏡如何成為智慧醫院的關鍵基礎設施

    0 分享
    分享 0 Tweet 0
  • 【重點包】虛擬資產服務法三讀 穩定幣納管、VASP 全面監理

    0 分享
    分享 0 Tweet 0
  • InfoSec Taiwan 2026:重新定義 AI 時代的「信任邊界」

    0 分享
    分享 0 Tweet 0
  • 魏董事長說三星做夢 韓國人還關心台灣什麼事?

    0 分享
    分享 0 Tweet 0
  • 【專訪】振生半導體執行長張振豐

    0 分享
    分享 0 Tweet 0
  • AI 時代的新課題:企業如何建立 Token 治理?

    0 分享
    分享 0 Tweet 0
  • 三大電信開放 API 串聯金融業 TWCA 建構行動身分認證生態

    0 分享
    分享 0 Tweet 0
  • FDE 前線部署工程師,讓 AI 真正落地的角色

    0 分享
    分享 0 Tweet 0

數位及平面

  • CIO Taiwan 網站
  • CIO 雜誌紙本
  • CIO 雜誌 HYREAD 版
  • CIO 雜誌 Zinio 版

關注社群

  • Line 加入好友
  • Facebook 粉絲頁

合作夥伴

  • CIO 協進會

關於我們

  • 公司介紹及工作機會
  • 隱私權政策

旗訊科技股份有限公司|統編:84493719|台北市 100 中正區杭州南路一段 15-1 號 19 樓|TEL: 886-2-23214335
Copyright © Flag Information Co.,Ltd. All Rights Reserved.

CIO Taiwan 歡迎你回來!

可用 使用者名稱 或 Email 登入

忘記密碼 註冊

歡迎註冊 CIO Taiwan 網站會員

請設定 Email 及 使用者名稱(使用者名稱不接受中文、將來無法更改)

欄位皆為必填 登入

找回密碼

請輸入 使用者名稱 或 Email 以重設密碼

登入
  • 登入
  • 註冊
沒有結果
查看所有結果
  • 活動
  • 影音
  • 產業速報
  • 新聞速寫
  • 風雲人物
  • 產業瞭望
  • 專欄
  • 精選文章
  • 原生現場
  • 供應商視野
  • 線上調查
  • CIO 雜誌
  • 電子報
  • 下載
  • 聯繫我們

© 2020 CIO Taiwan 版權所有

7/28 活動延期通知

因高雄市政府於7/28早上宣布全日停班停課,因此「智慧醫療研討會高雄場」活動延期舉辦。主辦單位將另行公告研討會相關訊息,歡迎報名參加!

您已閒置超過 3 分鐘了,為您推薦其他文章!點擊空白處、ESC 鍵或關閉回到網頁

Owennini1200

魏董事長說三星做夢 韓國人還關心台灣什麼事?

文/林宏文 近來韓國朋友對台灣電子業相當關注,除了 Computex 熱鬧開展,

【專訪】遠創智慧資訊處資深經理兼副處長陳懿玲

從 ETC 到停車 AI 治理平台 打造大規模 Edge 營運韌性 在生成式 A

LOINC 標準上路 衛福部完成 HIS、LIS 介接驗證

整理/鄭宜芬 為解決臺灣醫療院所長期以來檢驗資料格式不一、難以互通的困境,衛生福

1d11_1

Harness Engineering 與 FDE 崛起 落實 AI 轉型

企業 AI 落地進入治理時代 當幻覺風險、資料外洩、影子 AI 與治理缺口逐漸浮

間接提示注入攻擊正泛濫!駭客金融詐騙與資料外洩新利器

就在大型語言模型(LLM)已被普遍整合至日常應用程式之際,它也開啟了新的漏洞攻擊

主權 AI 議題升溫!美國總統令:AI Cybersecurity 躍升國安議題

為保證在 AI 賽道的領先,美國祭出總統令,要求可能被認定為 Covered F

軟體元件創造絕佳用戶體驗

文/葉宏謨 1960 年代至 1990 年代之前,企業資訊系統都是量身打造的,稱

全球 7 萬台 Fortinet 疑憑證外洩 資安署籲進行三大緊急防禦

整理/鄭宜芬 數位發展部資通安全署19日示警,威脅情報平台 InfoSteale

AI 重塑全球資安新戰局 我國布局 PQC 與自主防禦新策略

文/鄭宜芬 過去漏洞管理的瓶頸在於人力不足與修補速度有限;如今,AI 正在改變攻

文章分類

  • 產業速報
  • 專欄
  • 影音
  • 風雲人物
  • CXO分享
  • 產業瞭望
  • 原生現場
  • 精選文章
  • 趨勢分析
  • 供應商視野
  • 新聞速寫
  • 下載
  • Sponsors

熱門標籤

  • 最新文章
  • 雲端運算
  • 人工智慧
  • 數位轉型
  • 製造業
  • 物聯網
  • 資料與分析
  • 資安
  • 區塊鏈
  • 5G
  • 儲存
  • 基礎架構

活動

  • CIO價值學院 四堂課
  • 智慧醫療研討會 台北/高雄場
  • 金融科技高峰會 春季/秋季場
  • 製造業CIO論壇 台北/台中/高雄場
  • 商業服務科技論壇
  • 亞太CIO論壇
  • CISO資安學院 金融/醫療/新竹場
  • CIO Insight 調查

影音

  • 影音