IAM 權限設定不當造成離職員工帳號被濫用

2025/05/22

在現代企業雲端架構中，IAM 權限管理至關重要。然而，許多企業往往忽略了對離職員工帳號的適時清理，導致帳號被不當使用，進而產生潛在資安威脅。本案例探討某企業因 IAM 權限配置不當，導致前員工利用殘存帳號在雲端環境執行未授權操作，最終造成大量資源消耗與營運成本飆升。

企業簡介與服務概述

B 企業是一家提供線上教育與雲端儲存解決方案的科技公司，主要客戶來自教育機構與企業培訓單位。該企業的雲端基礎架構主要運行於 AWS，並依賴 EC2、S3、Lambda 及 RDS 提供即時數據處理與內容分發。

事件經過與帳號濫用行為

某日，B 企業的運維部門透過監控雲端帳單，跳出告警後發現短時間內費用大幅增加，高規格的雲端運算資源數量異常飆升。進一步調查後，運維部門發現有一個 IAM 使用者帳號在離職員工名單中，卻仍持續存取企業的 AWS 環境。

該帳號雖然原本屬於一名前 DevOps 工程師，但在其離職後並未被即時停用。該前員工利用此帳號進行以下行為：

‧開啟大量 EC2 執行個體：建立多個高 CPU 執行個體，用於個人深度學習專案，導致企業雲端費用異常飆升。

‧存取 S3 並下載內部數據：該帳號擁有 S3 讀寫權限，該員工下載了內部訓練數據，造成潛在資料外洩風險。

‧修改 IAM 設定：該員工利用帳號殘存的管理權限，嘗試建立新的 IAM 使用者，試圖繞過企業安全防護機制，擴大對 AWS 資源的存取權限。

技術分析與核心問題

本次事件的核心問題包括：

‧離職帳號未停用：企業未能即時撤銷離職員工的 IAM 權限，使其帳號在雲端環境中仍具存取能力。

‧缺乏權限最小化管理：該帳號原本擁有管理級權限，沒有針對職務需求進行權限限制，導致離職後仍可進行關鍵操作。

‧日誌與異常存取監控不足：企業未設置有效的 CloudTrail 與 CloudWatch 警報，導致異常存取行為未能被即時發現。

事件處理與後續調整

在發現異常後，B 企業的運維部門迅速採取以下應對措施：

‧立即停用該帳號，撤銷所有 IAM 權限。

‧回溯 AWS CloudTrail 日誌，確認該帳號存取的所有資源，並檢查是否有數據外洩跡象。

‧強制更新所有 AWS 憑證與存取金鑰，確保其他帳號未遭濫用。

‧強制啟用 IAM 使用者 MFA（多因素驗證），避免類似事件發生。

‧重新審視 IAM 權限配置，確保所有帳號均遵守最小權限原則（Least Privilege）。

雲端安全配置與建議

為避免類似事件再次發生，企業應採取以下雲端安全最佳實踐：

‧定期審查 IAM 帳號與權限：停用閒置帳號並降低高風險權限，或是掛上 DenyAll 權限（如圖一），關閉此使用者所有權限，並確保所有帳號都遵循最小權限原則（Least Privilege）。

停用閒置帳號並降低高風險權限

圖一、停用閒置帳號並降低高風險權限

‧啟用 AWS IAM Access Analyzer（如圖二）：用於檢測過度授權的 IAM 權限，確保沒有不必要的存取權限。

啟用 IAM Access Analyzer

圖二、啟用 IAM Access Analyzer

‧強制啟用 MFA : 設定二階段驗證（如圖三），確保帳號存取安全性。

啟用 MFA

圖三、啟用 MFA

‧設定 CloudWatch 與 CloudTrail 警報：即時監控異常存取行為，如根帳號的存取請求（如圖四）。

設定 CloudWatch 與 CloudTrail 警報

圖四、設定 CloudWatch 與 CloudTrail 警報

‧使用 AWS Organizations 與 SCP（Service Control Policies）：限制特定帳號的高風險操作，例如禁止 IAM 變更權限（如圖五）。

使用 SCP 管理 AWS 組織及帳號

圖五、使用 SCP 管理 AWS 組織及帳號

AWS 雲端環境安全強化

AWS 提供多種服務來加強雲端環境的安全性，企業可採取以下措施：

‧AWS Identity Center（前稱 AWS SSO）：透過單一登入（SSO）集中管理 IAM 權限，減少過度授權的風險。（如圖六）

使用 IAM Identity Center 集中管理 IAM 權限

圖六、使用 IAM Identity Center 集中管理 IAM 權限

‧Amazon GuardDuty：監控異常行為並偵測可疑的 IAM 活動，例如來自不明 IP 的登入或大量 API 呼叫。（如圖七）

使用 GuardDuty 監控異常行為

圖七、使用 GuardDuty 監控異常行為

‧AWS Security Hub：聚合多個安全工具（如 GuardDuty、CloudTrail、Macie），提供統一的安全態勢監控。（如圖八）

啟用 Security Hub

圖八、啟用 Security Hub

結語與啟示

本案例強調了雲端 IAM 權限管理的重要性，以及企業內部帳號管理不當可能導致的風險。透過良好的存取控制策略與 AWS 提供的安全工具，如 IAM Identity Center、GuardDuty 和 Security Hub，企業可有效降低此類事件發生的可能性。隨著企業雲端環境的日益擴展，唯有透過持續監控與權限最小化策略，才能確保企業雲端資源的安全與成本控制。

在 CIO Taiwan 官網閱讀全文 : IAM 權限設定不當造成離職員工帳號被濫用 https://www.cio.com.tw/89287/

其他訊息

產業訊息

IAM 權限設定不當造成離職員工帳號被濫用

其他訊息

數據資料中心是什麼？5分鐘看懂資料中心類型、用途及優缺點！

落實Data Access稽核，強化GCP雲端安全防線

手機App安全嗎？推薦3個App檢測工具介紹和優點，讓你預防詐騙！

MDR是什麼？企業需要MDR資安保護嗎？3分鐘看其原理與好處！

為什麼你的企業需要 Azure OpenAI：讓 AI 讀懂你公司的資料，還能變成專屬小助理

採用人工智慧克服銀行業的挑戰

多雲時代來臨，Azure Arc 引領企業輕鬆掌握多雲網路管理之道

從配置漏洞到數據洩露：一則 Terraform 安全案例剖析

告別安全與速度的兩難！阿里雲 ESA 邊緣安全加速，一站式全託管，安全防護，兼顧加速

雲端自動擴展的隱患：配置錯誤將引爆成本危機？

雲端日誌防線重要磐石，別讓黑箱成為防禦漏洞！

IAM 權限設定不當造成離職員工帳號被濫用

SOC結合SOAR好嗎？ SOC安全營運中心用途與結合SOAR優點一次知！

如何查詢網址安全？專家推薦這4招，教你免費檢測網頁安全性！

IT外包費用很貴嗎？一篇搞懂IT外包5個優點和費用如何評估！

多雲管理雲端是什麼？企業多雲資安管理的5大解決方案一次看！

雲地混合是什麼？3分鐘看公有雲、私有雲及混合雲優缺點比較！

ISO 27001是什麼？企業需要導入嗎？一篇瞭解資訊管理系統的優缺點！

雲端託管好嗎？雲端託管6大優點和挑選重點懶人包！

API 金鑰洩露引發大規模虛擬機創建事件

虛擬機登入憑證設定不當駭客侵入成為虛擬幣礦場

採用人工智慧克服銀行業的挑戰

雲端遷移策略企業數位轉型關鍵

從遊戲產業到數位平台：BigQuery 如何突破海量數據挑戰

社交工程是什麼？被攻擊該如何防範？5大資安攻擊和防範手法一次知！

企業需要用到CDN嗎？3分鐘快速瞭解CDN架構、用途和優點！

AWS是什麼？AWS雲端服務類型、優勢和使用方式一次瞭解！

DevOps和SRE差在哪？DevOps的4大優勢和相關服務推薦一次看！

如何做好雲端安全防護？推薦這6大雲端資安健診方法一次看！

IDC是什麼？我適合用嗎？挑選IDC機房3個重點和注意事項一次懂！

全新登場！阿里雲 CAPTCHA 服務，給您頂級安全防護與用戶體驗

什麼是DDoS攻擊？一次教你如何做好DDoS防護，保護你的網站！

如何提升網站效能優化？推薦5個改善網站速度的方法一次看！

雲端遷移成功關鍵因素

SOC它到底是什麼?它對資安有什麼作用?對於SOC資訊安全監控的功能與優勢有哪些?

精準運維，一站監控：探索騰訊雲可觀測平台的強大功能

Page Speed網頁速度如何加快？四種方法教你如何改善網站速度！

雲力橘子 2024 首發 Hacker Talk 論壇， 破解資安求職與無人機資安盲點

如何定義開源軟體＆套件？3分鐘快速搞懂第三方套件的授權模式！

雜貨店也能數位轉型？食品零售商如何透過公有雲優化商務呢

騰訊雲CCN雲聯網 手把手配置 高效穩定企業跨境全球互聯

【2024最新】公司企業的3款最佳Devops工具，成功案例一次看！

使用CDN安全嗎？CDN如何達到基本防護功能呢?

我用的APP安全嗎？會被竊個資嗎？3分鐘快速檢查手機APP資安！

如何確保做好企業資訊安全？這4大DDoS防護方法，推薦學起來！

發現手機被追蹤怎麼辦？注意 這十大被駭徵兆，手機資安恐不 保！

如何加快網站速度?影響網速的要件及升級指南

Vertex AI 和 Workbench 語言模組實戰，打造有人性的客服小幫手

我的 AWS實例啟用失敗，應該怎麼做？

雲力橘子 2023 最終場駭客論壇，探討網站風險、原碼檢測盲點與 Crypto 黑暗面

DDOS流量清洗是什麼？可以阻擋攻擊嗎？DDOS防禦方法一次看！

Devops是什麼？推薦企業一次看懂Devops定義、流程及優缺點！

如何做好資安防護？3個APP資安檢測工具、費用及功能一次看！

CDN廠商怎麼選？中華電信CDN、Cloudflare及Multi CDN大評比！

如何檢測iOS、Android手機資安？4招檢測方法預防詐騙＆駭客！

Google Cloud 引領潮流，擴大企業級生成式 AI的應用範疇，開創無限可能！

雲力橘子邀請專家獻策，破解惡意後門與車載資安盲點

企業為什麼要上雲？用途為何？盤點上雲5大優勢和費用解析！

可自建CDN嗎？和供應商差在哪？兩者優缺點和供應商挑選一次懂！

優化數據處理體驗：探索騰訊雲 EdgeOne 邊緣計算新境界

我該如何選擇最適合 AWS EC2 實例?

企業如何挑選合適的雲端服務？公有雲、私有雲差異比較總整理

技術專欄_運用AWS Network Firewall控制 Workspaces

弱點掃描工具有哪些？5款免費、付費弱點掃描工具優缺點分析！

如何設定網站CDN？推薦公司企業使用CDN加速的4大原因！

如何應對邊緣節點的網路攻擊？在 CDN 邊緣節點建立防護系統！

如何測試網站安全？OWASP工具測試弱點掃描的功能服務解析！

如何防禦DDoS攻擊？推薦這4大DDoS防護方法，避免網站被駭！

Google Cloud 初學者指南：我該將服務運行在哪呢？

雲力橘子串聯執法機關、資安廠商與風險顧問引導企業降低遇駭危機

企業需要SOC資安監控嗎？如何評估？看懂SOC監控的5大功能！

Multi CDN是什麼？為什麼要融合CDN？其應用方法與原理一次知！

如何利用CDN內容傳遞網路讓網站加速？4大優勢與趨勢分析！

DDoS攻擊怎麼防禦？DDoS攻擊手法與資安供應商挑選一次搞懂！

為什麼網站速度慢？和網頁設計有關嗎？速度慢會造成什麼影響？

如何提升企業雲端防護力-Cloud Armor

雲力橘子 2023 首發論壇，揭示藍隊能力升級、 開發／資安磨合的奧妙心法

雲力橘子 2024 首發 Hacker Talk 論壇，破解資安求職與無人機資安盲點

騰訊雲CCN雲聯網手把手配置高效穩定企業跨境全球互聯

發現手機被追蹤怎麼辦？注意這十大被駭徵兆，手機資安恐不保！

雲力橘子 2023 首發論壇，揭示藍隊能力升級、開發／資安磨合的奧妙心法

2022 雲力橘子 Hacker Talk 漂亮收尾，解構開發模式、弱點檢測之安全盲點

如何提升網站速度及效能？推薦先搞懂動態v.s靜態網站的差異！

從零基礎學破解的駭客工具 Magisk Root，看懂駭客攻擊如何操作！