Используем принцип наименьших привилегий. Создаем отдельные IAM-пользователи или роли для каждого члена команды или группы, предоставляя только те разрешения, которые необходимы для выполнения их задач.
Для автоматизированных процессов (CI/CD) используем IAM-роли с ограниченными правами, назначаемые сервисам (например, EC2, Lambda) или сущностям (например, GitHub Actions OIDC).
Храним учетные данные (будь то ключи доступа или временные токены) безопасно. Для учетных данных, используемых вручную, поощряем использование консоли провайдера через Federated Access или Azure AD / Google Identity Platform. Для автоматизированных процессов интегрируем системы управления секретами (например, HashiCorp Vault, AWS Secrets Manager, Azure Key Vault, GCP Secret Manager) с CI/CD пайплайнами.
Применяем многофакторную аутентификацию (MFA) для всех интерактивных пользователей.
Настраиваем аудит действий пользователей (логирование, например, AWS CloudTrail, Azure Activity Logs, GCP Audit Logs) и анализируем их для выявления подозрительной активности.
Используем группы безопасности (Security Groups в AWS, Network Security Gro
Используем принцип наименьших привилегий. Создаем отдельные IAM-пользователи или роли для каждого члена команды или группы, предоставляя только те разрешения, которые необходимы для выполнения их задач.
Для автоматизированных процессов (CI/CD) используем IAM-роли с ограниченными правами, назначаемые сервисам (например, EC2, Lambda) или сущностям (например, GitHub Actions OIDC).
Храним учетные данные (будь то ключи доступа или временные токены) безопасно. Для учетных данных, используемых вручную, поощряем использование консоли провайдера через Federated Access или Azure AD / Google Identity Platform. Для автоматизированных процессов интегрируем системы управления секретами (например, HashiCorp Vault, AWS Secrets Manager, Azure Key Vault, GCP Secret Manager) с CI/CD пайплайнами.
Применяем многофакторную аутентификацию (MFA) для всех интерактивных пользователей.
Настраиваем аудит действий пользователей (логирование, например, AWS CloudTrail, Azure Activity Logs, GCP Audit Logs) и анализируем их для выявления подозрительной активности.
Используем группы безопасности (Security Groups в AWS, Network Security Gro
Register or sign in to get access to full answers for all questions from the question bank.