• 登入
  • 註冊網站會員
CIO Taiwan
  • 活動
  • 影音
  • 趨勢分析
  • CIO 雜誌
  • CISO精選
  • 電子報
  • 下載
  • 聯繫我們
沒有結果
查看所有結果
CIO Taiwan
沒有結果
查看所有結果
首頁 精選文章

IAM 權限設定不當造成離職員工帳號被濫用

2025-04-23
分類 : 精選文章
0
A A
0
IAM 權限設定不當造成離職員工帳號被濫用

Image generated by GhatGPT

雲端參數調教工作坊系列報導五

企業若未能妥善管理雲端 IAM(Identity and Access Management)帳號,離職員工的帳號可能成為潛在的安全風險。這類帳號若仍保有高權限,不僅可能導致企業數據外洩,甚至可能被濫用來執行高成本的雲端資源操作,帶來財務與營運風險。

文/果核數位雲端實驗室


在現代企業雲端架構中,IAM 權限管理至關重要。然而,許多企業往往忽略了對離職員工帳號的適時清理,導致帳號被不當使用,進而產生潛在資安威脅。本案例探討某企業因 IAM 權限配置不當,導致前員工利用殘存帳號在雲端環境執行未授權操作,最終造成大量資源消耗與營運成本飆升。

內容目錄 隱藏
雲端參數調教工作坊系列報導五
企業簡介與服務概述
事件經過與帳號濫用行為
技術分析與核心問題
事件處理與後續調整
雲端安全配置與建議
AWS 雲端環境安全強化
結語與啟示

企業簡介與服務概述

B 企業是一家提供線上教育與雲端儲存解決方案的科技公司,主要客戶來自教育機構與企業培訓單位。該企業的雲端基礎架構主要運行於 AWS,並依賴 EC2、S3、Lambda 及 RDS 提供即時數據處理與內容分發。

事件經過與帳號濫用行為

某日,B 企業的運維部門透過監控雲端帳單,跳出告警後發現短時間內費用大幅增加,高規格的雲端運算資源數量異常飆升。進一步調查後,運維部門發現有一個 IAM 使用者帳號在離職員工名單中,卻仍持續存取企業的 AWS 環境。

[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球CIO同步獲取精華見解 ]

該帳號雖然原本屬於一名前 DevOps 工程師,但在其離職後並未被即時停用。該前員工利用此帳號進行以下行為:
‧開啟大量 EC2 執行個體:建立多個高 CPU 執行個體,用於個人深度學習專案,導致企業雲端費用異常飆升。
‧存取 S3 並下載內部數據:該帳號擁有 S3 讀寫權限,該員工下載了內部訓練數據,造成潛在資料外洩風險。
‧修改 IAM 設定:該員工利用帳號殘存的管理權限,嘗試建立新的 IAM 使用者,試圖繞過企業安全防護機制,擴大對 AWS 資源的存取權限。

技術分析與核心問題

本次事件的核心問題包括:
‧離職帳號未停用:企業未能即時撤銷離職員工的 IAM 權限,使其帳號在雲端環境中仍具存取能力。
‧缺乏權限最小化管理:該帳號原本擁有管理級權限,沒有針對職務需求進行權限限制,導致離職後仍可進行關鍵操作。
‧日誌與異常存取監控不足:企業未設置有效的 CloudTrail 與 CloudWatch 警報,導致異常存取行為未能被即時發現。

事件處理與後續調整

在發現異常後,B 企業的運維部門迅速採取以下應對措施:
‧立即停用該帳號,撤銷所有 IAM 權限。
‧回溯 AWS CloudTrail 日誌,確認該帳號存取的所有資源,並檢查是否有數據外洩跡象。
‧強制更新所有 AWS 憑證與存取金鑰,確保其他帳號未遭濫用。
‧強制啟用 IAM 使用者 MFA(多因素驗證),避免類似事件發生。
‧重新審視 IAM 權限配置,確保所有帳號均遵守最小權限原則(Least Privilege)。

雲端安全配置與建議

為避免類似事件再次發生,企業應採取以下雲端安全最佳實踐:

‧定期審查 IAM 帳號與權限:停用閒置帳號並降低高風險權限,或是掛上 DenyAll 權限(如圖一),關閉此使用者所有權限,並確保所有帳號都遵循最小權限原則(Least Privilege)。

I166d12圖一
◤ 圖一、停用閒置帳號並降低高風險權限

‧啟用 AWS IAM Access Analyzer(如圖二):用於檢測過度授權的 IAM 權限,確保沒有不必要的存取權限。

◤ 圖二、啟用 IAM Access Analyzer

‧強制啟用 MFA : 設定二階段驗證(如圖三),確保帳號存取安全性。

◤ 圖三、啟用 MFA


‧設定 CloudWatch 與 CloudTrail 警報:即時監控異常存取行為,如根帳號的存取請求(如圖四)。

◤ 圖四、設定 CloudWatch 與 CloudTrail 警報

‧使用 AWS Organizations 與 SCP(Service Control Policies):限制特定帳號的高風險操作,例如禁止 IAM 變更權限(如圖五)。

◤ 圖五、使用 SCP 管理 AWS 組織及帳號

AWS 雲端環境安全強化

AWS 提供多種服務來加強雲端環境的安全性,企業可採取以下措施:

‧AWS Identity Center(前稱 AWS SSO):透過單一登入(SSO)集中管理 IAM 權限,減少過度授權的風險。(如圖六)

◤ 圖六、使用 IAM Identity Center 集中管理 IAM 權限

‧Amazon GuardDuty:監控異常行為並偵測可疑的 IAM 活動,例如來自不明 IP 的登入或大量 API 呼叫。(如圖七)

◤ 圖七、使用 GuardDuty 監控異常行為

‧AWS Security Hub:聚合多個安全工具(如 GuardDuty、CloudTrail、Macie),提供統一的安全態勢監控。(如圖八)

I166d12圖八
◤ 圖八、啟用 Security Hub

結語與啟示

本案例強調了雲端 IAM 權限管理的重要性,以及企業內部帳號管理不當可能導致的風險。透過良好的存取控制策略與 AWS 提供的安全工具,如 IAM Identity Center、GuardDuty 和 Security Hub,企業可有效降低此類事件發生的可能性。隨著企業雲端環境的日益擴展,唯有透過持續監控與權限最小化策略,才能確保企業雲端資源的安全與成本控制。


(本文授權非營利轉載,請註明出處:CIO Taiwan)

上一篇文章

雲端成本失控!識別、控制與最佳化策略

下一篇文章

Level 3 自駕與 AI 充電系統獲獎 經濟部推動智慧車輛產業鏈

相關文章

1d11_1
精選文章

Harness Engineering 與 FDE 崛起 落實 AI 轉型

2026-07-02
從五層 AI 供應鏈到三層現實治理:CIO 如何讓 AI 真正創造價值
精選文章

從五層 AI 供應鏈到三層現實治理:CIO 如何讓 AI 真正創造價值

2026-06-28
別再要求 IT 讀心術:當 IT 被迫發明需求時,治理其實已經失敗
精選文章

別再要求 IT 讀心術:當 IT 被迫發明需求時,治理其實已經失敗

2026-06-13
下一篇文章
Whandnews Image

Level 3 自駕與 AI 充電系統獲獎 經濟部推動智慧車輛產業鏈

2026 Elite Vendor

追蹤我們的 Facebook

近期文章

  • 銀行數位金庫面臨換鎖大限?解密二零三零資安存亡戰
  • SentinelOne AI 全棧式安全平臺邁向自動化 SOC
  • Dynatrace以確定性AI建立信任,驅動代理自主維運
  • Al Agent 治理 萬里雲以 Apigee 築起零信任防線
  • Confluent數據驅動AI落地 偉康成就金融智能樞紐

📈 CIO點閱文章週排行

  • 【醫療轉型】屏東義大攜手思科建構「數位免疫網」:打造智慧醫療新典範,讓醫學中心照護深入偏鄉

    【醫療轉型】屏東義大攜手思科建構「數位免疫網」:打造智慧醫療新典範,讓醫學中心照護深入偏鄉

    0 分享
    分享 0 Tweet 0
  • 醫療業:AI 眼鏡如何成為智慧醫院的關鍵基礎設施

    0 分享
    分享 0 Tweet 0
  • 群聯電子攜手新立資訊導入 SynxDB,打造高效能數據平台,加速良率分析與 AI 應用布局

    0 分享
    分享 0 Tweet 0
  • InfoSec Taiwan 2026:重新定義 AI 時代的「信任邊界」

    0 分享
    分享 0 Tweet 0
  • 【專訪】振生半導體執行長張振豐

    0 分享
    分享 0 Tweet 0
  • 【重點包】虛擬資產服務法三讀 穩定幣納管、VASP 全面監理

    0 分享
    分享 0 Tweet 0
  • AI 時代的新課題:企業如何建立 Token 治理?

    0 分享
    分享 0 Tweet 0
  • 魏董事長說三星做夢 韓國人還關心台灣什麼事?

    0 分享
    分享 0 Tweet 0
  • FDE 前線部署工程師,讓 AI 真正落地的角色

    0 分享
    分享 0 Tweet 0
  • 主權 AI 議題升溫!美國總統令:AI Cybersecurity 躍升國安議題

    0 分享
    分享 0 Tweet 0

數位及平面

  • CIO Taiwan 網站
  • CIO 雜誌紙本
  • CIO 雜誌 HYREAD 版
  • CIO 雜誌 Zinio 版

關注社群

  • Line 加入好友
  • Facebook 粉絲頁

合作夥伴

  • CIO 協進會

關於我們

  • 公司介紹及工作機會
  • 隱私權政策

旗訊科技股份有限公司|統編:84493719|台北市 100 中正區杭州南路一段 15-1 號 19 樓|TEL: 886-2-23214335
Copyright © Flag Information Co.,Ltd. All Rights Reserved.

CIO Taiwan 歡迎你回來!

可用 使用者名稱 或 Email 登入

忘記密碼 註冊

歡迎註冊 CIO Taiwan 網站會員

請設定 Email 及 使用者名稱(使用者名稱不接受中文、將來無法更改)

欄位皆為必填 登入

找回密碼

請輸入 使用者名稱 或 Email 以重設密碼

登入
  • 登入
  • 註冊
沒有結果
查看所有結果
  • 活動
  • 影音
  • 產業速報
  • 新聞速寫
  • 風雲人物
  • 產業瞭望
  • 專欄
  • 精選文章
  • 原生現場
  • 供應商視野
  • 線上調查
  • CIO 雜誌
  • 電子報
  • 下載
  • 聯繫我們

© 2020 CIO Taiwan 版權所有

7/28 活動延期通知

因高雄市政府於7/28早上宣布全日停班停課,因此「智慧醫療研討會高雄場」活動延期舉辦。主辦單位將另行公告研討會相關訊息,歡迎報名參加!

您已閒置超過 3 分鐘了,為您推薦其他文章!點擊空白處、ESC 鍵或關閉回到網頁

邁向 AI 優先企業 Gartner:資料與分析成企業新關鍵競爭力

整理/鄭宜芬 Gartner預測,2030 年有逾十分之一企業轉型為 AI 優先

LOINC 標準上路 衛福部完成 HIS、LIS 介接驗證

整理/鄭宜芬 為解決臺灣醫療院所長期以來檢驗資料格式不一、難以互通的困境,衛生福

【編輯室札記】To AI or not to AI?!

總主筆/施鑫澤 身為企業 CIO,面對千年難遇的科技浪潮「AI」,真是既興奮又恐

從生成式 AI 到 AI Agent 國科會揭五大治理風險與防範指引

整理/鄭宜芬 隨著生成式 AI 乃至 AI Agent(AI 代理人)技術逐漸深

【金融業】後量子密碼遷移 PQC 的落地實務

一場針對 PQC 當前落實程度進行深度研討的論壇,匯聚了產、官觀點,金融業在後量

醫療業:AI 眼鏡如何成為智慧醫院的關鍵基礎設施

當 AI 從螢幕走進眼鏡,臨床現場的資訊取得方式正被徹底改寫。對醫院 CIO 而

Grab 布局台灣外送市場 強打 AI、資安與平台整合能力

文/鄭宜芬 東南亞叫車與外送平台 Grab 日前宣布將以6億美元收購 foodp

從微支付到跨境結算,大廠布局 AI Agent 經濟基建

文/許加政(資策會數轉院資深研究員) AI 的快速發展與應用,其角色已從「回答問

當區塊鏈風險離開鏈上——跨鏈世代的資安盲點與治理挑戰

過去幾年,企業評估區塊鏈風險時,焦點多放在智慧合約漏洞、私鑰保管與帳本安全。然而

文章分類

  • 產業速報
  • 專欄
  • 影音
  • 風雲人物
  • CXO分享
  • 產業瞭望
  • 原生現場
  • 精選文章
  • 趨勢分析
  • 供應商視野
  • 新聞速寫
  • 下載
  • Sponsors

熱門標籤

  • 最新文章
  • 雲端運算
  • 人工智慧
  • 數位轉型
  • 製造業
  • 物聯網
  • 資料與分析
  • 資安
  • 區塊鏈
  • 5G
  • 儲存
  • 基礎架構

活動

  • CIO價值學院 四堂課
  • 智慧醫療研討會 台北/高雄場
  • 金融科技高峰會 春季/秋季場
  • 製造業CIO論壇 台北/台中/高雄場
  • 商業服務科技論壇
  • 亞太CIO論壇
  • CISO資安學院 金融/醫療/新竹場
  • CIO Insight 調查

影音

  • 影音