https://www.chenk.top/zh/tags/iam/Recent content in IAM on Chen Kai BlogHugozh-CNSun, 03 May 2026 09:00:00 +0000https://www.chenk.top/zh/aliyun-fullstack/06-ram-security/Sun, 03 May 2026 09:00:00 +0000https://www.chenk.top/zh/aliyun-fullstack/06-ram-security/<p>有一次，我在一个公开的 GitHub 仓库里发现了自己的 DashScope API Key——有人 fork 了我几个月前上传的一个 Demo，而这个 API Key 明文存放在未被 .gitignore 排除的配置文件中。等我发现时，这个 Key 已在一个周末内被用于发起 14,000 次 Qwen API 调用，所幸账单未超支，这得益于 DashScope 按 token 计费的弹性计费机制，但教训极为深刻。我曾以为云安全可以“以后再做”，结果这个“以后”变成了凌晨两点触发的账单告警。</p>https://www.chenk.top/zh/cloud-computing/security-privacy/Sun, 07 May 2023 09:00:00 +0000https://www.chenk.top/zh/cloud-computing/security-privacy/<p>2019 年，Capital One 泄露了一亿条客户记录。整个攻击链非常简短：一个配置错误的 WAF 允许攻击者对 EC2 元数据端点发起服务端请求伪造（SSRF），该端点随即返回了 IAM 临时凭证，而该 IAM 角色对账户内所有 S3 存储桶都拥有通配符权限 <code>s3:*</code>。一处配置失误、一个权限过宽的角色、一条安全团队漏写的防护规则——仅此而已。事件造成的直接经济损失（不含法律费用）超过 8000 万美元。</p>