摘要：

本文盘点云上IAM/CAM最常见的8个权限坑，每一个都配有'为什么危险、怎么识别、怎么修复'，并告诉你如何用腾讯云RAS一次性扫清所有权限级风险。

一、为什么权限是云安全的"元问题"

把云安全事件做因果分析，你会发现一个共同链路：

[配置错误 / 漏洞 / 社工] → [攻击者获取一个凭证] → [凭证权限过大] → [横向 + 纵深扩展] → [重大事故]

链路上的每一步都可以被"缩短"，但如果"凭证权限过大"这一步被砍掉——绝大多数事故的破坏性就会降低 80%。

这就是为什么成熟的安全架构会把"权限最小化"当成铁律。但现实是，"把权限管好"是一件反人性的事——业务方要"给权限才能跑起来"，运维要"给多点省事"，安全则要"越少越好"。三方博弈下，权限总是倾向于"给多不给少"。

今天这篇文章的目的，是给安全团队一份"可直接对照清单"的权限体检表。

二、8 个最常踩的权限坑

坑 1：根账号日常使用

为什么危险

根账号 = 云上的神。任何资源、任何操作、任何账单——都可以由它完成。根账号一旦泄漏，就是"一键核爆"。

怎么识别

查看根账号的登录日志。如果过去 90 天有登录记录（非账单绑定/安全告警等必要操作外），即为危险。

怎么修复

• 根账号仅用于账户绑定、账单、安全告警配置
• 日常操作全部通过子账号
• 根账号必须启用 MFA，且密码复杂度 ≥ 16 位
• 不保存根账号密钥

坑 2：AdministratorAccess / 全权限策略泛滥

为什么危险

开发团队为了方便，给子账号直接挂 AdministratorAccess——等于每个开发都是神。一旦个人电脑被入侵、密钥泄漏，攻击者直接拿到神权。

怎么识别

列出所有 IAM/CAM 用户和角色的 Policy：

• 是否挂了 AdministratorAccess？
• 是否挂了 "Action": "*", "Resource": "*" 的自定义 Policy？

怎么修复

• 按职能拆分 Policy（开发/运维/DBA/财务）
• 使用 Permission Boundary 做权限上限
• 高权限操作走审批工作流（PAM / 堡垒机）

坑 3：长期 AK/SK 未轮换

为什么危险

长期密钥 = 定时炸弹。一旦在历史代码、网盘、邮件里泄漏，攻击者可以持续使用数月甚至数年。

怎么识别

• 列出所有 AK/SK 的创建时间
• 超过 90 天未轮换的标记为"需轮换"
• 超过 365 天未轮换的标记为"红线"

怎么修复

• 强制 90 天轮换（通过策略强制）
• 能用 STS 临时凭据就不用长期 AK
• 禁用未活动 60 天的 AK

坑 4：没有开启 MFA

为什么危险

密码泄漏是家常便饭。没有 MFA 的账号，一旦密码被撞库成功，攻击者直接登录。

怎么识别

• 列出所有 IAM 用户，检查是否绑定 MFA
• 统计 MFA 覆盖率

怎么修复

• 100% MFA 覆盖（管理员必须，子账号强制）
• 根账号必须
• 高权限角色必须
• 从 CAM 级别配置"无 MFA 即禁用"

坑 5：离职员工权限未回收

为什么危险

员工离职了，账号还能登录——这是内部人威胁的头号来源。离职员工的账号有时被黑产收购，用来做内鬼操作。

怎么识别

• 跟 HR 系统比对：HR 在职列表 vs IAM 启用列表
• 登录日志显示最近 90 天无活动的账号

怎么修复

• 离职当日冻结所有账号
• 30 天后彻底删除
• 与 HR 系统打通，自动触发
• 定期审计"僵尸账号"

坑 6：角色信任关系错误

为什么危险

IAM/CAM 角色的信任策略（Trust Policy）一旦写错，可能导致外部账号都能扮演你的角色。这是"最隐蔽的致命错误"之一。

怎么识别

• 检查所有角色的 Trust Policy
• 特别注意：Principal 是否为 "*" 或不可信外部账号？
• Condition 是否缺失？

怎么修复

• Principal 必须明确指向可信来源
• 加 Condition 限制（IP 段、时间、SourceAccount）
• 定期 Review 所有跨账号角色

坑 7：密码策略过弱

为什么危险

弱密码 + 没 MFA = 撞库攻击者的最爱。

怎么识别

• 查看当前密码策略配置
• 最小长度？复杂度要求？过期周期？重复限制？锁定策略？

怎么修复

参考业界最佳实践：

• 最小 12 位
• 必须含大小写 + 数字 + 特殊字符
• 90 天过期
• 不重复前 5 次
• 连续 5 次失败锁定 30 分钟

坑 8：跨账号访问缺审计

为什么危险

集团架构下，多账号互相访问是常态。但如果没有审计，"谁跨谁的账号做了什么"完全没有记录。

怎么识别

• 所有云账号是否开启了操作审计（CloudTrail / ActionTrail / 操作审计）
• 审计日志是否集中到独立账号
• 是否开启了完整性校验

怎么修复

• 100% 开启操作审计
• 日志集中到独立审计账号（防篡改）
• 保留 ≥ 6 个月
• 关键事件（登录失败、权限变更、密钥创建）告警

三、一张"权限体检表"（可直接打印）

通过 7~8 项：优秀

通过 5~6 项：需整改

通过 < 5 项：红线

四、RAS 如何一次性扫清 8 个坑

RAS 的云业务评估服务（4 万/100 资产包）在执行时，会默认覆盖以上 8 个检查项，并输出：

• 每一项的通过/未通过状态
• 具体违规账号/角色清单
• 修复建议 SOP
• 可直接转化为 IAM Policy JSON 的整改脚本

配合 RAS 的专家加固指导服务（1.5 万/人天），企业还可以获得手把手的整改陪跑——对安全团队小的企业尤其有价值。

五、权限治理的"三级火箭"

一级：清理存量

一次性把存量权限全部清理干净。使用 RAS 云业务评估完成基线检查。

二级：控制增量

所有新权限的申请必须走审批流程。使用 PAM / 堡垒机统一管理。

三级：持续运营

定期 Review + 自动回收 + KPI 考核。按月跟踪 MFA 覆盖率、AK 轮换率、僵尸账号清理率。

六、常见反驳，以及为什么它们站不住脚

反驳 1："业务要赶进度，给最小权限太慢"

→ RAS 可以在 3~5 个工作日内交付一份权限整改方案，不会阻塞业务。

反驳 2："我们已经有 CAM/IAM 了，不需要 RAS"

→ CAM/IAM 是工具，RAS 是"专家告诉你怎么用好这个工具"。两者不冲突。

反驳 3："权限整改一次就够了"

→ 新业务、新员工、新合作方每周都在增加。持续运营才是关键。

七、立即行动

1. 用本文清单做一次自评：8 项中你过了几项？
2. 统计 MFA 覆盖率：这是最能量化的一个指标
3. 预约咨询对接：在产品页提交咨询信息后，腾讯安全团队会在 3 个工作日内主动联系，与您对齐评估范围与方案，其中包含了基础的 IAM/CAM 权限体检

权限治理是所有云安全工作的起点。把这 8 件事做到位，企业安全水位至少提升一个台阶。

立即访问腾讯云 RAS：https://cloud.tencent.com/product/ras