Yandex Cloud
Поиск
Связаться с намиПодключиться
  • Истории успеха
  • Документация
  • Блог
  • Все сервисы
  • Статус работы сервисов
    • Доступны в регионе
    • Инфраструктура и сеть
    • Платформа данных
    • Контейнеры
    • Инструменты разработчика
    • Бессерверные вычисления
    • Безопасность
    • Мониторинг и управление ресурсами
    • AI Studio
    • Бизнес-инструменты
  • Все решения
    • По отраслям
    • По типу задач
    • Экономика платформы
    • Безопасность
    • Техническая поддержка
    • Каталог партнёров
    • Обучение и сертификация
    • Облако для стартапов
    • Облако для крупного бизнеса
    • Центр технологий для общества
    • Партнёрская программа
    • Поддержка IT-бизнеса
    • Облако для фрилансеров
    • Обучение и сертификация
    • Блог
    • Документация
    • Мероприятия и вебинары
    • Контакты, чаты и сообщества
    • Идеи
    • Тарифы Yandex Cloud
    • Промоакции и free tier
    • Правила тарификации
  • Истории успеха
  • Документация
  • Блог
Проект Яндекса
© 2025 ТОО «Облачные Сервисы Казахстан»
Yandex Identity and Access Management
    • Все инструкции
    • Обработка секретов, попавших в открытый доступ
  • Безопасное использование Yandex Cloud
  • Управление доступом
  • Правила тарификации
  • Справочник ролей
  • Справочник Terraform
  • Метрики Monitoring
  • Аудитные логи Audit Trails
  • История изменений
  • Обучающие курсы

В этой статье:

  • Отзовите и перевыпустите секреты
  • IAM-токен
  • OAuth-токен
  • Авторизованный ключ
  • JWT
  • Статический ключ
  • API-ключ
  • Серверный ключ SmartCaptcha
  • Cookie
  • Проверьте наличие несанкционированных действий
  • Удалите несанкционированные ресурсы
  • Обратитесь в службу технической поддержки
  1. Пошаговые инструкции
  2. Обработка секретов, попавших в открытый доступ

Обработка секретов, попавших в открытый доступ

Статья создана
Yandex Cloud
Улучшена
Обновлена 19 мая 2025 г.
  • Отзовите и перевыпустите секреты
    • IAM-токен
    • OAuth-токен
    • Авторизованный ключ
    • JWT
    • Статический ключ
    • API-ключ
    • Серверный ключ SmartCaptcha
    • Cookie
  • Проверьте наличие несанкционированных действий
  • Удалите несанкционированные ресурсы
  • Обратитесь в службу технической поддержки

Yandex Cloud автоматически ищет секреты в открытом доступе. Чтобы обеспечить безопасность ваших данных и инфраструктуры, внимательно следите за использованием секретов. Если секреты были скомпрометированы:

  1. Отзовите и перевыпустите секреты.
  2. Проверьте наличие несанкционированных действий.
  3. Удалите несанкционированные ресурсы.
  4. Обратитесь в службу технической поддержки.
  5. Выполните рекомендации по построению безопасной инфраструктуры.

Отзовите и перевыпустите секретыОтзовите и перевыпустите секреты

IAM-токенIAM-токен

Чтобы злоумышленник не смог использовать токен:

  1. Отзовите скомпрометированный IAM-токен.

  2. Создайте новый IAM-токен:

    • Для аккаунта на Яндексе;
    • Для сервисного аккаунта;
    • Для федеративного аккаунта.

OAuth-токенOAuth-токен

OAuth-токен можно отозвать. При этом IAM-токены, для получения которых использовался OAuth-токен, продолжат действовать. Поэтому все такие IAM-токены также должны быть отозваны.

Чтобы злоумышленник не смог использовать токен:

  1. Отзовите OAuth-токен. Для этого нужно отозвать доступ приложения Yandex Cloud. Подробнее см. Отзыв токенов.
  2. Отзовите все IAM-токены, для получения которых использовался скомпрометированный OAuth-токен.
  3. Получите новый OAuth-токен.

Авторизованный ключАвторизованный ключ

Если вам нужно максимально быстро пресечь угрозы со стороны скомпрометированного ключа, удалите сервисный аккаунт.

Если для вас важнее непрерывность процесса, в котором участвует сервисный аккаунт, перевыпустите авторизованные ключи:

  1. Создайте новый авторизованный ключ для сервисного аккаунта.
  2. Предоставьте новый авторизованный ключ сервисам и пользователям, которые его используют.
  3. Получите IAM-токен для нового авторизованного ключа.
  4. Удалите старый авторизованный ключ.

Когда вы удалите авторизованный ключ, соответствующий ему IAM-токен перестанет действовать. Этого достаточно, чтобы исключить угрозы со стороны скомпрометированного ключа.

JWTJWT

Выполните действия, описанные в разделе Авторизованный ключ.

Статический ключСтатический ключ

  1. Создайте новый статический ключ для сервисного аккаунта.
  2. Предоставьте новый статический ключ сервисам и пользователям, которые его используют.
  3. Удалите старый статический ключ.

API-ключAPI-ключ

  1. Создайте новый API-ключ для сервисного аккаунта.
  2. Предоставьте новый API-ключ сервисам и пользователям, которые его используют.
  3. Удалите старый API-ключ.

Серверный ключ SmartCaptchaСерверный ключ SmartCaptcha

Создайте новую капчу и на странице сайта замените ей старую капчу, серверный ключ которой попал в открытый доступ.

CookieCookie

Прекратите действие cookie:

  1. Измените пароль Яндекс ID.
  2. Авторизуйтесь в Яндекс ID с новым паролем.

Проверьте наличие несанкционированных действийПроверьте наличие несанкционированных действий

Проанализируйте доступ к вашим ресурсам Yandex Cloud:

  1. Изучите записи Cloud Logging.
  2. Выполните поиск событий в бакете или лог-группе Audit Trails.
  3. Убедитесь, что все события, в том числе связанные с утечкой секретов, соответствуют ожиданиям.

Совет

Вы можете настроить экспорт аудитных логов в SIEM.

Удалите несанкционированные ресурсыУдалите несанкционированные ресурсы

  1. Проверьте, не появились ли в Yandex Cloud ресурсы, которые вы не создавали, например виртуальные машины, хранилища данных, базы данных, функции, API-шлюзы и т. д.
  2. Удалите несанкционированные ресурсы.

Обратитесь в службу технической поддержкиОбратитесь в службу технической поддержки

Сообщите в службу технической поддержки об инциденте. Эта информация поможет усовершенствовать защиту секретов в будущих релизах Yandex Cloud.

Подробнее о порядке оказания технической поддержки.

Была ли статья полезна?

Предыдущая
Все инструкции
Следующая
Добавление пользователя
Проект Яндекса
© 2025 ТОО «Облачные Сервисы Казахстан»