[{"data":1,"prerenderedAt":1282},["ShallowReactive",2],{"\u002F2026\u002Faws-iam-kimlik-bilgileri-guvenli-yonetimi\u002F":3,"surround-\u002F2026\u002Faws-iam-kimlik-bilgileri-guvenli-yonetimi":1273},{"_path":4,"_dir":5,"_draft":6,"_partial":6,"_locale":7,"title":8,"description":9,"date":10,"updated":10,"image":11,"categories":12,"tags":14,"draft":6,"readingTime":20,"body":25,"_type":1266,"_id":1267,"_source":1268,"_file":1269,"_stem":1270,"_extension":1271,"_original_dir":1272},"\u002F2026\u002Faws-iam-kimlik-bilgileri-guvenli-yonetimi","2026",false,"","AWS IAM Kimlik Bilgileri Nasıl Güvenli Yönetilir?","2025 Verizon DBIR raporuna göre web uygulama saldırılarının %88'i çalınan kimlik bilgileriyle başlıyor. IAM credential türleri, IMDSv2 geçişi ve MFA zorunluluğu ile bulut güvenliğinizi nasıl sağlamlaştıracağınızı adım adım anlatıyoruz.","2026-04-24T19:19:39.000Z","https:\u002F\u002Fhackpaper-image-server.pages.dev\u002Fimages\u002Fblogs\u002Faws-iam-kimlik-bilgileri-guvenli-yonetimi\u002F1.jpg",[13],"Cloud",[15,16,17,18,19],"AWS","Security","IAM","MFA","IMDSv2",{"text":21,"minutes":22,"time":23,"words":24},"8 min read",7.78,466800,1556,{"type":26,"children":27,"toc":1248},"root",[28,37,52,57,109,115,127,140,145,156,251,256,287,293,304,309,332,363,376,382,402,409,422,435,441,461,556,585,591,608,613,626,632,637,643,663,668,796,825,831,842,847,927,963,1072,1078,1083,1132,1137,1143,1161,1175,1198,1204,1209,1237,1242],{"type":29,"tag":30,"props":31,"children":33},"element","h2",{"id":32},"giriş",[34],{"type":35,"value":36},"text","Giriş",{"type":29,"tag":38,"props":39,"children":40},"p",{},[41,43,50],{"type":35,"value":42},"AWS'de her API çağrısı kimlik doğrulamadan geçer. 2025 Verizon Veri İhlali Raporu, temel web uygulama saldırılarının %88'inin çalınan kimlik bilgileriyle başladığını söylüyor ",{"type":29,"tag":44,"props":45,"children":47},"badge",{"link":46},"https:\u002F\u002Fwww.verizon.com\u002Fbusiness\u002Fresources\u002Freports\u002Fdbir\u002F",[48],{"type":35,"value":49},"Verizon DBIR",{"type":35,"value":51},". Ortamda dolaşan access key'ler, root şifreleri ve rol token'ları üzerinde yeterince durulmadığında, saldırganın işi fazlasıyla kolaylaşıyor.",{"type":29,"tag":38,"props":53,"children":54},{},[55],{"type":35,"value":56},"Bu yazı IAM kimlik bilgisi türlerini, hangi senaryoda hangisinin kullanılması gerektiğini ve bunları saldırı yüzeyinden nasıl uzak tutacağınızı ele alıyor.",{"type":29,"tag":58,"props":59,"children":62},"alert",{"title":60,"type":61},"Key Takeaways","info",[63],{"type":29,"tag":64,"props":65,"children":66},"ul",{},[67,92,104],{"type":29,"tag":68,"props":69,"children":70},"li",{},[71,73,79,81,90],{"type":35,"value":72},"GitHub, 2024 yılında platform genelinde ",{"type":29,"tag":74,"props":75,"children":76},"strong",{},[77],{"type":35,"value":78},"39 milyondan fazla",{"type":35,"value":80}," gizli anahtar tespit etti; AWS access key'leri en sık sızan bulut kimlik bilgileri arasındaydı. (",{"type":29,"tag":82,"props":83,"children":87},"a",{"href":84,"rel":85},"https:\u002F\u002Fgithub.blog\u002Fsecurity\u002Fapplication-security\u002Fnext-evolution-github-advanced-security\u002F",[86],"nofollow",[88],{"type":35,"value":89},"GitHub",{"type":35,"value":91},", 2024)",{"type":29,"tag":68,"props":93,"children":94},{},[95,97,102],{"type":35,"value":96},"Uzun vadeli access key (AKIA) kullanımı, mümkün olan her yerde ",{"type":29,"tag":74,"props":98,"children":99},{},[100],{"type":35,"value":101},"geçici oturum anahtarlarıyla (ASIA)",{"type":35,"value":103}," değiştirilmeli.",{"type":29,"tag":68,"props":105,"children":106},{},[107],{"type":35,"value":108},"IMDSv1, Capital One ihlalinde olduğu gibi SSRF zafiyetleriyle sunucu içindeki rol bilgilerini sızdırabiliyor. IMDSv2'yi zorunlu kılmak bu riski ortadan kaldırıyor.",{"type":29,"tag":30,"props":110,"children":112},{"id":111},"root-kullanıcısı-hesabın-sahibi-peki-ne-kadar-kullanılmalı",[113],{"type":35,"value":114},"Root kullanıcısı hesabın sahibi: Peki ne kadar kullanılmalı?",{"type":29,"tag":38,"props":116,"children":117},{},[118,120,125],{"type":35,"value":119},"AWS hesabı oluşturulurken belirlenen e-posta ve parola, ",{"type":29,"tag":74,"props":121,"children":122},{},[123],{"type":35,"value":124},"sınırsız yetkiye",{"type":35,"value":126}," sahip root kullanıcısını tanımlar. Bu hesap, Organizations tarafından uygulanan Servis Kontrol Politikaları (SCP) dışında hiçbir kısıtlamaya tabi değildir. Fatura bilgileri, hesap kapatma, AWS Destek planı değişikliği gibi işlemleri yalnızca root yürütebilir.",{"type":29,"tag":38,"props":128,"children":129},{},[130,132,138],{"type":35,"value":131},"AWS, 2024 ortasından itibaren standalone hesaplarda root kullanıcısı için MFA'yı kademeli olarak zorunlu kılmaya başladı ",{"type":29,"tag":44,"props":133,"children":135},{"link":134},"https:\u002F\u002Faws.amazon.com\u002Fblogs\u002Fsecurity\u002Fpasskeys-enhance-security-and-usability-as-aws-expands-mfa-requirements\u002F",[136],{"type":35,"value":137},"AWS Security Blog",{"type":35,"value":139},". Organizations ile açılan yeni hesaplarda root şifresi rastgele üretilir ve hiçbir yerde saklanmaz. Peki ya 2017 öncesi açılan eski hesaplar? Onlarda root parolası, Amazon.com alışveriş şifresiyle aynı olabilir. Bu risk bugün hâlâ canlı.",{"type":29,"tag":38,"props":141,"children":142},{},[143],{"type":35,"value":144},"Güvenlik çerçevesinden bakıldığında root, bir \"break glass\" hesabıdır. Günlük operasyonlarda kullanılması, yetki sınırlaması olmayan bir hesabı sürekli aktif tutmak anlamına gelir.",{"type":29,"tag":38,"props":146,"children":147},{},[148,150,154],{"type":35,"value":149},"Aralık 2024'te AWS, root kullanıcıları için MFA'yı zorunlu hale getirme takvimini duyurdu; bu, uzun süredir beklenen bir adımdı ",{"type":29,"tag":44,"props":151,"children":152},{"link":134},[153],{"type":35,"value":137},{"type":35,"value":155},". Buna göre standalone hesaplarda root MFA'sı kademeli olarak dayatılacak. Yine de bu takvimi beklemek yerine hemen şimdi harekete geçmek, savunmayı saldırgandan bir adım önde tutar.",{"type":29,"tag":157,"props":158,"children":162},"pre",{"className":159,"code":160,"language":161,"meta":7,"style":7},"language-mermaid shiki shiki-themes catppuccin-latte one-dark-pro","flowchart TD\n    A[Root E-posta + Parola] --> B{MFA Tanımlı mı?}\n    B -->|Hayır| C[\"Tek Aşamalı Erişim\u003Cbr\u002F>Kritik Risk\"]\n    B -->|Evet| D[MFA Doğrulaması]\n    D --> E[Sınırlı Süreli Konsol Erişimi]\n    E --> F[CloudTrail Kaydı + Gerçek Zamanlı Alarm]\n    \n    style C fill:#d32f2f,color:#fff\n    style F fill:#1565c0,color:#fff\n","mermaid",[163],{"type":29,"tag":164,"props":165,"children":166},"code",{"__ignoreMap":7},[167,179,188,197,206,215,224,233,242],{"type":29,"tag":168,"props":169,"children":172},"span",{"class":170,"line":171},"line",1,[173],{"type":29,"tag":168,"props":174,"children":176},{"style":175},"--shiki-default:#4C4F69;--shiki-dark:#ABB2BF",[177],{"type":35,"value":178},"flowchart TD\n",{"type":29,"tag":168,"props":180,"children":182},{"class":170,"line":181},2,[183],{"type":29,"tag":168,"props":184,"children":185},{"style":175},[186],{"type":35,"value":187},"    A[Root E-posta + Parola] --> B{MFA Tanımlı mı?}\n",{"type":29,"tag":168,"props":189,"children":191},{"class":170,"line":190},3,[192],{"type":29,"tag":168,"props":193,"children":194},{"style":175},[195],{"type":35,"value":196},"    B -->|Hayır| C[\"Tek Aşamalı Erişim\u003Cbr\u002F>Kritik Risk\"]\n",{"type":29,"tag":168,"props":198,"children":200},{"class":170,"line":199},4,[201],{"type":29,"tag":168,"props":202,"children":203},{"style":175},[204],{"type":35,"value":205},"    B -->|Evet| D[MFA Doğrulaması]\n",{"type":29,"tag":168,"props":207,"children":209},{"class":170,"line":208},5,[210],{"type":29,"tag":168,"props":211,"children":212},{"style":175},[213],{"type":35,"value":214},"    D --> E[Sınırlı Süreli Konsol Erişimi]\n",{"type":29,"tag":168,"props":216,"children":218},{"class":170,"line":217},6,[219],{"type":29,"tag":168,"props":220,"children":221},{"style":175},[222],{"type":35,"value":223},"    E --> F[CloudTrail Kaydı + Gerçek Zamanlı Alarm]\n",{"type":29,"tag":168,"props":225,"children":227},{"class":170,"line":226},7,[228],{"type":29,"tag":168,"props":229,"children":230},{"style":175},[231],{"type":35,"value":232},"    \n",{"type":29,"tag":168,"props":234,"children":236},{"class":170,"line":235},8,[237],{"type":29,"tag":168,"props":238,"children":239},{"style":175},[240],{"type":35,"value":241},"    style C fill:#d32f2f,color:#fff\n",{"type":29,"tag":168,"props":243,"children":245},{"class":170,"line":244},9,[246],{"type":29,"tag":168,"props":247,"children":248},{"style":175},[249],{"type":35,"value":250},"    style F fill:#1565c0,color:#fff\n",{"type":29,"tag":38,"props":252,"children":253},{},[254],{"type":35,"value":255},"Root için minimum güvenlik adımları:",{"type":29,"tag":64,"props":257,"children":258},{},[259,264,269,274],{"type":29,"tag":68,"props":260,"children":261},{},[262],{"type":35,"value":263},"Root e-postasını yalnızca güvenilir kişilerin erişebildiği izole bir posta kutusuna tanımlayın.",{"type":29,"tag":68,"props":265,"children":266},{},[267],{"type":35,"value":268},"Donanım tabanlı MFA ekleyin. FIDO2 security key, TOTP'ye kıyasla phishing saldırılarına karşı daha dirençlidir.",{"type":29,"tag":68,"props":270,"children":271},{},[272],{"type":35,"value":273},"Root için hiçbir koşulda access key oluşturmayın.",{"type":29,"tag":68,"props":275,"children":276},{},[277,279,285],{"type":35,"value":278},"CloudTrail'de ",{"type":29,"tag":164,"props":280,"children":282},{"className":281},[],[283],{"type":35,"value":284},"ConsoleLogin",{"type":35,"value":286}," olaylarını root kullanıcısı için izleyin ve anlık SNS alarmı kurun.",{"type":29,"tag":30,"props":288,"children":290},{"id":289},"iam-login-profile-herkesin-konsola-ihtiyacı-yok",[291],{"type":35,"value":292},"IAM login profile: Herkesin konsola ihtiyacı yok",{"type":29,"tag":38,"props":294,"children":295},{},[296,298,302],{"type":35,"value":297},"Verizon DBIR 2025'e göre kimlik bilgisi hırsızlığı, veri ihlallerinin en yaygın giriş vektörü olmaya devam ediyor ",{"type":29,"tag":44,"props":299,"children":300},{"link":46},[301],{"type":35,"value":49},{"type":35,"value":303},". IAM kullanıcıları için oluşturulan login profile, AWS Management Console'a parolayla erişimi sağlar. Ancak yalnızca API veya CLI kullanacak servis hesaplarına konsol erişimi vermek, saldırı yüzeyini boşuna genişletir. AWS, hesap düzeyinde bir parola politikasını zorunlu kılmaz; bu yapılandırmayı sizin elinizle yapmanız gerekir.",{"type":29,"tag":38,"props":305,"children":306},{},[307],{"type":35,"value":308},"Bir IAM parola politikasında bulunması gerekenler:",{"type":29,"tag":64,"props":310,"children":311},{},[312,317,322,327],{"type":29,"tag":68,"props":313,"children":314},{},[315],{"type":35,"value":316},"Minimum 14 karakter",{"type":29,"tag":68,"props":318,"children":319},{},[320],{"type":35,"value":321},"Büyük harf, küçük harf, rakam ve özel karakter zorunluluğu",{"type":29,"tag":68,"props":323,"children":324},{},[325],{"type":35,"value":326},"Maksimum 90 gün parola ömrü",{"type":29,"tag":68,"props":328,"children":329},{},[330],{"type":35,"value":331},"Son 24 parolanın tekrar kullanılamaması",{"type":29,"tag":333,"props":334,"children":336},"quote",{"icon":335},"ph:lightbulb-duotone",[337],{"type":29,"tag":38,"props":338,"children":339},{},[340,345,347,353,355,361],{"type":29,"tag":74,"props":341,"children":342},{},[343],{"type":35,"value":344},"Önemli Tespit:",{"type":35,"value":346}," Güvenlik denetimlerinde karşılaşılan bir tablo: Ekipler parola politikasını tanımlıyor, ancak ",{"type":29,"tag":164,"props":348,"children":350},{"className":349},[],[351],{"type":35,"value":352},"HardExpiry",{"type":35,"value":354}," parametresini atlıyor. Bu parametre ",{"type":29,"tag":164,"props":356,"children":358},{"className":357},[],[359],{"type":35,"value":360},"true",{"type":35,"value":362}," olmadığında, süresi dolmuş parola bir sonraki girişte değiştirilmek üzere hâlâ kullanılabiliyor. Politika kâğıt üzerinde var, pratikte yok.",{"type":29,"tag":38,"props":364,"children":365},{},[366,368,374],{"type":35,"value":367},"Konsol erişimi olan her hesap bir kimlik avı hedefidir. Microsoft'un 2019 araştırması, MFA'nın hesap ele geçirme saldırılarının %99.9'unu engellediğini gösteriyor ",{"type":29,"tag":44,"props":369,"children":371},{"link":370},"https:\u002F\u002Fwww.microsoft.com\u002Fen-us\u002Fsecurity\u002Fblog\u002F2019\u002F08\u002F20\u002Fone-simple-action-you-can-take-to-prevent-99-9-percent-of-account-attacks\u002F",[372],{"type":35,"value":373},"Microsoft Security Blog",{"type":35,"value":375},". Peki MFA olmadan güçlü bir parola politikası tek başına yeterli mi? Kısa cevap: Hayır. Ele geçirilmiş bir parola, MFA yoksa saldırgana tüm yetkileri açar.",{"type":29,"tag":30,"props":377,"children":379},{"id":378},"access-keyler-uzun-vadeli-ve-geçici-anahtarlar",[380],{"type":35,"value":381},"Access Key'ler: Uzun vadeli ve geçici anahtarlar",{"type":29,"tag":38,"props":383,"children":384},{},[385,387,392,394,400],{"type":35,"value":386},"AWS API'lerine programatik erişim iki tür anahtarla mümkündür. GitHub, 2024'te platform genelinde 39 milyondan fazla gizli anahtar tespit etti; AWS access key'leri en sık sızan bulut kimlik bilgileri arasında ",{"type":29,"tag":44,"props":388,"children":389},{"link":84},[390],{"type":35,"value":391},"GitHub Blog",{"type":35,"value":393},". Peki bu anahtarlar nereye sızıyor? Büyük çoğunluğu ",{"type":29,"tag":164,"props":395,"children":397},{"className":396},[],[398],{"type":35,"value":399},".env",{"type":35,"value":401}," dosyalarına, CI\u002FCD değişkenlerine ya da doğrudan kaynak koda gömülmüş halde bulunuyor.",{"type":29,"tag":403,"props":404,"children":406},"h3",{"id":405},"uzun-vadeli-anahtarlar-akia",[407],{"type":35,"value":408},"Uzun Vadeli Anahtarlar (AKIA)",{"type":29,"tag":38,"props":410,"children":411},{},[412,414,420],{"type":35,"value":413},"Access Key ID'leri ",{"type":29,"tag":164,"props":415,"children":417},{"className":416},[],[418],{"type":35,"value":419},"AKIA",{"type":35,"value":421}," ile başlar, süresiz geçerlidir ve kullanıcı başına en fazla iki anahtar oluşturulabilir. Açığa çıkan bir AKIA anahtarı, otomatik tarayıcılar tarafından dakikalar içinde tespit edilip kripto mining'den veri sızdırmaya kadar çeşitli amaçlarla kullanılır.",{"type":29,"tag":38,"props":423,"children":424},{},[425,427,433],{"type":35,"value":426},"Geçici anahtar kullanımının mümkün olduğu hiçbir senaryoda uzun vadeli anahtar kullanılmamalıdır. Kullanmak zorunda kalındığında 90 günde bir rotasyon şarttır. Rotasyon sırasında eski anahtarı hemen ",{"type":29,"tag":164,"props":428,"children":430},{"className":429},[],[431],{"type":35,"value":432},"Inactive",{"type":35,"value":434}," duruma getirip bir hafta boyunca hata log'larını izledikten sonra silmek, en risksiz yöntemdir.",{"type":29,"tag":403,"props":436,"children":438},{"id":437},"geçici-oturum-anahtarları-asia",[439],{"type":35,"value":440},"Geçici Oturum Anahtarları (ASIA)",{"type":29,"tag":38,"props":442,"children":443},{},[444,446,452,454,459],{"type":35,"value":445},"STS tarafından üretilir, ",{"type":29,"tag":164,"props":447,"children":449},{"className":448},[],[450],{"type":35,"value":451},"ASIA",{"type":35,"value":453}," ile başlar ve 15 dakika ile 12 saat arasında bir ömre sahiptir. Access Key ve Secret Key'e ek olarak bir ",{"type":29,"tag":74,"props":455,"children":456},{},[457],{"type":35,"value":458},"Session Token",{"type":35,"value":460}," taşırlar. Çalınsalar bile kısa sürede geçersiz hale gelmeleri en büyük avantajlarıdır. 15 dakikalık bir pencerede ciddi hasar verebilmek, önceden konumlanmış altyapı olmadan neredeyse imkansızdır.",{"type":29,"tag":157,"props":462,"children":464},{"className":159,"code":463,"language":161,"meta":7,"style":7},"sequenceDiagram\n    participant Uygulama\n    participant STS\n    participant \"AWS API\"\n    \n    Uygulama->>STS: AssumeRole (Role ARN + MFA Token)\n    STS-->>Uygulama: Geçici Credential (ASIA + Secret + Session Token)\n    Uygulama->>\"AWS API\": İmzalı İstek (Credential + Token)\n    \"AWS API\"-->>Uygulama: Yanıt\n    \n    Note over Uygulama,\"AWS API\": Token ömrü 15 dk - 12 saat arası yapılandırılabilir\n",[465],{"type":29,"tag":164,"props":466,"children":467},{"__ignoreMap":7},[468,476,484,492,500,507,515,523,531,539,547],{"type":29,"tag":168,"props":469,"children":470},{"class":170,"line":171},[471],{"type":29,"tag":168,"props":472,"children":473},{"style":175},[474],{"type":35,"value":475},"sequenceDiagram\n",{"type":29,"tag":168,"props":477,"children":478},{"class":170,"line":181},[479],{"type":29,"tag":168,"props":480,"children":481},{"style":175},[482],{"type":35,"value":483},"    participant Uygulama\n",{"type":29,"tag":168,"props":485,"children":486},{"class":170,"line":190},[487],{"type":29,"tag":168,"props":488,"children":489},{"style":175},[490],{"type":35,"value":491},"    participant STS\n",{"type":29,"tag":168,"props":493,"children":494},{"class":170,"line":199},[495],{"type":29,"tag":168,"props":496,"children":497},{"style":175},[498],{"type":35,"value":499},"    participant \"AWS API\"\n",{"type":29,"tag":168,"props":501,"children":502},{"class":170,"line":208},[503],{"type":29,"tag":168,"props":504,"children":505},{"style":175},[506],{"type":35,"value":232},{"type":29,"tag":168,"props":508,"children":509},{"class":170,"line":217},[510],{"type":29,"tag":168,"props":511,"children":512},{"style":175},[513],{"type":35,"value":514},"    Uygulama->>STS: AssumeRole (Role ARN + MFA Token)\n",{"type":29,"tag":168,"props":516,"children":517},{"class":170,"line":226},[518],{"type":29,"tag":168,"props":519,"children":520},{"style":175},[521],{"type":35,"value":522},"    STS-->>Uygulama: Geçici Credential (ASIA + Secret + Session Token)\n",{"type":29,"tag":168,"props":524,"children":525},{"class":170,"line":235},[526],{"type":29,"tag":168,"props":527,"children":528},{"style":175},[529],{"type":35,"value":530},"    Uygulama->>\"AWS API\": İmzalı İstek (Credential + Token)\n",{"type":29,"tag":168,"props":532,"children":533},{"class":170,"line":244},[534],{"type":29,"tag":168,"props":535,"children":536},{"style":175},[537],{"type":35,"value":538},"    \"AWS API\"-->>Uygulama: Yanıt\n",{"type":29,"tag":168,"props":540,"children":542},{"class":170,"line":541},10,[543],{"type":29,"tag":168,"props":544,"children":545},{"style":175},[546],{"type":35,"value":232},{"type":29,"tag":168,"props":548,"children":550},{"class":170,"line":549},11,[551],{"type":29,"tag":168,"props":552,"children":553},{"style":175},[554],{"type":35,"value":555},"    Note over Uygulama,\"AWS API\": Token ömrü 15 dk - 12 saat arası yapılandırılabilir\n",{"type":29,"tag":333,"props":557,"children":559},{"icon":558},"ph:warning-circle-duotone",[560],{"type":29,"tag":38,"props":561,"children":562},{},[563,568,570,576,578,583],{"type":29,"tag":74,"props":564,"children":565},{},[566],{"type":35,"value":567},"Saha Gözlemi:",{"type":35,"value":569}," Sızma testlerinde görülen şu: ",{"type":29,"tag":164,"props":571,"children":573},{"className":572},[],[574],{"type":35,"value":575},"aws sts get-caller-identity",{"type":35,"value":577}," komutu, saldırganın elindeki access key'in hangi hesaba ve kullanıcıya ait olduğunu saniyeler içinde ifşa ediyor. Hesap ID'si, kullanıcı adı ve ARN döndüren bu zararsız görünen komut, hedef profili oluşturmanın ilk adımı. ",{"type":29,"tag":164,"props":579,"children":581},{"className":580},[],[582],{"type":35,"value":419},{"type":35,"value":584}," prefix'i bile başlı başına bir bilgi sızıntısıdır.",{"type":29,"tag":30,"props":586,"children":588},{"id":587},"mfa-i̇steğe-bağlı-değil-zorunlu",[589],{"type":35,"value":590},"MFA: İsteğe bağlı değil, zorunlu",{"type":29,"tag":38,"props":592,"children":593},{},[594,596,600,602,606],{"type":35,"value":595},"Microsoft'un araştırmasına göre MFA, hesap ele geçirme saldırılarının %99.9'unu engelliyor ",{"type":29,"tag":44,"props":597,"children":598},{"link":370},[599],{"type":35,"value":373},{"type":35,"value":601},". AWS üç MFA yöntemini destekler: sanal TOTP uygulamaları, donanım tabanlı TOTP token'lar ve FIDO2\u002FU2F security key'ler. Haziran 2024'te AWS, FIDO2 passkey desteğini IAM için kullanıma sundu ",{"type":29,"tag":44,"props":603,"children":604},{"link":134},[605],{"type":35,"value":137},{"type":35,"value":607},". Passkey'ler, cihazınızdaki parmak izi veya yüz tanıma gibi biyometrik doğrulamayı MFA faktörü olarak kullanır.",{"type":29,"tag":38,"props":609,"children":610},{},[611],{"type":35,"value":612},"Güvenlik açısından FIDO2, phishing saldırılarına karşı TOTP'den daha dirençlidir. TOTP kodları iyi kurgulanmış bir ortadaki adam saldırısıyla çalınabilir. FIDO2 ise origin doğrulaması yaparak yalnızca gerçek AWS konsoluna yanıt verir. Peki neden hâlâ TOTP kullanılıyor? Çünkü donanım token maliyeti ve dağıtım lojistiği, büyük ekiplerde FIDO2'ye geçişi yavaşlatıyor. Yine de root hesabı için donanım MFA pazarlıksız bir gereklilik.",{"type":29,"tag":38,"props":614,"children":615},{},[616,618,624],{"type":35,"value":617},"IAM politikalarıyla MFA'yı zorunlu kılmak için ",{"type":29,"tag":164,"props":619,"children":621},{"className":620},[],[622],{"type":35,"value":623},"aws:MultiFactorAuthPresent",{"type":35,"value":625}," koşulu kullanılır.",{"type":29,"tag":30,"props":627,"children":629},{"id":628},"servisler-kimlik-bilgilerini-nasıl-alır-imdsv1den-imdsv2ye-geçiş",[630],{"type":35,"value":631},"Servisler kimlik bilgilerini nasıl alır? IMDSv1'den IMDSv2'ye geçiş",{"type":29,"tag":38,"props":633,"children":634},{},[635],{"type":35,"value":636},"EC2, Lambda, ECS gibi servisler IAM Role + AssumeRole ile çalışır. Servis rolü üstlenir, AWS Trust Policy'yi kontrol eder ve geçici kimlik bilgisi döner. Akışın kendisi güvenli. Asıl sorun, bu bilgilerin servise nasıl iletildiğinde başlıyor.",{"type":29,"tag":403,"props":638,"children":640},{"id":639},"capital-one-i̇hlali-ve-imdsnin-tehlikeli-yüzü",[641],{"type":35,"value":642},"Capital One İhlali ve IMDS'nin Tehlikeli Yüzü",{"type":29,"tag":38,"props":644,"children":645},{},[646,648,653,655,661],{"type":35,"value":647},"EC2 sunucuları, rol kimlik bilgilerini ",{"type":29,"tag":74,"props":649,"children":650},{},[651],{"type":35,"value":652},"169.254.169.254",{"type":35,"value":654}," IP'sindeki Instance Metadata Service'ten alır. IMDSv1, bu bilgiyi herhangi bir oturum token'ı olmadan düz HTTP GET ile sunar. 2019'da Capital One ihlalinde saldırgan, yanlış yapılandırılmış bir WAF'ı atlatarak SSRF zafiyeti üzerinden IMDSv1'e ulaştı ve 100 milyondan fazla müşteri kaydına erişti ",{"type":29,"tag":44,"props":656,"children":658},{"link":657},"https:\u002F\u002Fkrebsonsecurity.com\u002F2019\u002F08\u002Fwhat-we-can-learn-from-the-capital-one-hack\u002F",[659],{"type":35,"value":660},"KrebsOnSecurity",{"type":35,"value":662},". Capital One, bu ihlal sonucunda 190 milyon dolarlık uzlaşma bedeli ödedi.",{"type":29,"tag":38,"props":664,"children":665},{},[666],{"type":35,"value":667},"IMDSv2 bu açığı kapatır. Metadata'ya erişmek için önce PUT isteğiyle süre sınırlı bir oturum token'ı almak gerekir. SSRF zafiyetlerinin büyük çoğunluğu yalnızca GET isteği gönderebildiği için IMDSv2, bu saldırı sınıfını etkisiz kılar.",{"type":29,"tag":157,"props":669,"children":671},{"className":159,"code":670,"language":161,"meta":7,"style":7},"flowchart LR\n    subgraph \"IMDSv1 - Güvensiz\"\n        A1[EC2] -->|\"HTTP GET\"| B1[\"169.254.169.254\"]\n        B1 --> C1[IAM Credentials Döner]\n    end\n    \n    subgraph \"IMDSv2 - Güvenli\"\n        A2[EC2] -->|\"HTTP PUT + TTL\"| B2[\"169.254.169.254\"]\n        B2 --> C2[Session Token]\n        A2 -->|\"HTTP GET + Token Header\"| D2[\"169.254.169.254\"]\n        D2 --> E2[IAM Credentials Döner]\n    end\n    \n    style C1 fill:#d32f2f,color:#fff\n    style E2 fill:#2e7d32,color:#fff\n",[672],{"type":29,"tag":164,"props":673,"children":674},{"__ignoreMap":7},[675,683,691,699,707,715,722,730,738,746,754,762,770,778,787],{"type":29,"tag":168,"props":676,"children":677},{"class":170,"line":171},[678],{"type":29,"tag":168,"props":679,"children":680},{"style":175},[681],{"type":35,"value":682},"flowchart LR\n",{"type":29,"tag":168,"props":684,"children":685},{"class":170,"line":181},[686],{"type":29,"tag":168,"props":687,"children":688},{"style":175},[689],{"type":35,"value":690},"    subgraph \"IMDSv1 - Güvensiz\"\n",{"type":29,"tag":168,"props":692,"children":693},{"class":170,"line":190},[694],{"type":29,"tag":168,"props":695,"children":696},{"style":175},[697],{"type":35,"value":698},"        A1[EC2] -->|\"HTTP GET\"| B1[\"169.254.169.254\"]\n",{"type":29,"tag":168,"props":700,"children":701},{"class":170,"line":199},[702],{"type":29,"tag":168,"props":703,"children":704},{"style":175},[705],{"type":35,"value":706},"        B1 --> C1[IAM Credentials Döner]\n",{"type":29,"tag":168,"props":708,"children":709},{"class":170,"line":208},[710],{"type":29,"tag":168,"props":711,"children":712},{"style":175},[713],{"type":35,"value":714},"    end\n",{"type":29,"tag":168,"props":716,"children":717},{"class":170,"line":217},[718],{"type":29,"tag":168,"props":719,"children":720},{"style":175},[721],{"type":35,"value":232},{"type":29,"tag":168,"props":723,"children":724},{"class":170,"line":226},[725],{"type":29,"tag":168,"props":726,"children":727},{"style":175},[728],{"type":35,"value":729},"    subgraph \"IMDSv2 - Güvenli\"\n",{"type":29,"tag":168,"props":731,"children":732},{"class":170,"line":235},[733],{"type":29,"tag":168,"props":734,"children":735},{"style":175},[736],{"type":35,"value":737},"        A2[EC2] -->|\"HTTP PUT + TTL\"| B2[\"169.254.169.254\"]\n",{"type":29,"tag":168,"props":739,"children":740},{"class":170,"line":244},[741],{"type":29,"tag":168,"props":742,"children":743},{"style":175},[744],{"type":35,"value":745},"        B2 --> C2[Session Token]\n",{"type":29,"tag":168,"props":747,"children":748},{"class":170,"line":541},[749],{"type":29,"tag":168,"props":750,"children":751},{"style":175},[752],{"type":35,"value":753},"        A2 -->|\"HTTP GET + Token Header\"| D2[\"169.254.169.254\"]\n",{"type":29,"tag":168,"props":755,"children":756},{"class":170,"line":549},[757],{"type":29,"tag":168,"props":758,"children":759},{"style":175},[760],{"type":35,"value":761},"        D2 --> E2[IAM Credentials Döner]\n",{"type":29,"tag":168,"props":763,"children":765},{"class":170,"line":764},12,[766],{"type":29,"tag":168,"props":767,"children":768},{"style":175},[769],{"type":35,"value":714},{"type":29,"tag":168,"props":771,"children":773},{"class":170,"line":772},13,[774],{"type":29,"tag":168,"props":775,"children":776},{"style":175},[777],{"type":35,"value":232},{"type":29,"tag":168,"props":779,"children":781},{"class":170,"line":780},14,[782],{"type":29,"tag":168,"props":783,"children":784},{"style":175},[785],{"type":35,"value":786},"    style C1 fill:#d32f2f,color:#fff\n",{"type":29,"tag":168,"props":788,"children":790},{"class":170,"line":789},15,[791],{"type":29,"tag":168,"props":792,"children":793},{"style":175},[794],{"type":35,"value":795},"    style E2 fill:#2e7d32,color:#fff\n",{"type":29,"tag":38,"props":797,"children":798},{},[799,801,807,809,815,817,823],{"type":35,"value":800},"Mart 2024'te AWS, hesap düzeyinde tüm yeni EC2 örneklerinde IMDSv2'yi varsayılan olarak ayarlama özelliğini kullanıma sundu ",{"type":29,"tag":44,"props":802,"children":804},{"link":803},"https:\u002F\u002Faws.amazon.com\u002Fabout-aws\u002Fwhats-new\u002F2024\u002F03\u002Fset-imdsv2-default-new-instance-launches\u002F",[805],{"type":35,"value":806},"AWS What's New",{"type":35,"value":808},". Mevcut örnekler için ",{"type":29,"tag":164,"props":810,"children":812},{"className":811},[],[813],{"type":35,"value":814},"MetadataOptions.HttpTokens",{"type":35,"value":816}," parametresini ",{"type":29,"tag":164,"props":818,"children":820},{"className":819},[],[821],{"type":35,"value":822},"required",{"type":35,"value":824}," olarak güncellemek, Capital One benzeri bir ihlalin maliyetini ortadan kaldırır.",{"type":29,"tag":30,"props":826,"children":828},{"id":827},"i̇zleme-ve-sürekli-denetim",[829],{"type":35,"value":830},"İzleme ve Sürekli Denetim",{"type":29,"tag":38,"props":832,"children":833},{},[834,836,840],{"type":35,"value":835},"Kimlik bilgisi güvenliği \"kur ve unut\" işi değildir. Peki düzenli denetim yapılmadığında ne oluyor? 2025 Verizon DBIR, ihlallerin %68'inde insan faktörünün bulunduğunu söylüyor ",{"type":29,"tag":44,"props":837,"children":838},{"link":46},[839],{"type":35,"value":49},{"type":35,"value":841},". Unutulan access key'ler, rotasyonu atlanan anahtarlar ve MFA'sız hesaplar bu istatistiğin içinde.",{"type":29,"tag":38,"props":843,"children":844},{},[845],{"type":35,"value":846},"Aylık olarak çalıştırılması gereken kontroller:",{"type":29,"tag":64,"props":848,"children":849},{},[850,860,885,895],{"type":29,"tag":68,"props":851,"children":852},{},[853,858],{"type":29,"tag":74,"props":854,"children":855},{},[856],{"type":35,"value":857},"Credential Report:",{"type":35,"value":859}," Kullanılmayan ve rotasyon süresi geçmiş access key'leri tespit eder.",{"type":29,"tag":68,"props":861,"children":862},{},[863,868,870,876,878,883],{"type":29,"tag":74,"props":864,"children":865},{},[866],{"type":35,"value":867},"IMDS Durumu:",{"type":35,"value":869}," ",{"type":29,"tag":164,"props":871,"children":873},{"className":872},[],[874],{"type":35,"value":875},"ec2 describe-instances",{"type":35,"value":877}," ile ",{"type":29,"tag":164,"props":879,"children":881},{"className":880},[],[882],{"type":35,"value":814},{"type":35,"value":884}," değerini kontrol edin.",{"type":29,"tag":68,"props":886,"children":887},{},[888,893],{"type":29,"tag":74,"props":889,"children":890},{},[891],{"type":35,"value":892},"MFA Eksiklikleri:",{"type":35,"value":894}," IAM credential report, MFA aktif olmayan kullanıcıları listeler.",{"type":29,"tag":68,"props":896,"children":897},{},[898,903,904,910,912,918,919,925],{"type":29,"tag":74,"props":899,"children":900},{},[901],{"type":35,"value":902},"CloudTrail:",{"type":35,"value":869},{"type":29,"tag":164,"props":905,"children":907},{"className":906},[],[908],{"type":35,"value":909},"GetCallerIdentity",{"type":35,"value":911},", ",{"type":29,"tag":164,"props":913,"children":915},{"className":914},[],[916],{"type":35,"value":917},"CreateAccessKey",{"type":35,"value":911},{"type":29,"tag":164,"props":920,"children":922},{"className":921},[],[923],{"type":35,"value":924},"AssumeRole",{"type":35,"value":926}," gibi hassas çağrıları izleyin.",{"type":29,"tag":38,"props":928,"children":929},{},[930,932,938,939,945,947,953,955,961],{"type":35,"value":931},"AWS Config'in ",{"type":29,"tag":164,"props":933,"children":935},{"className":934},[],[936],{"type":35,"value":937},"iam-user-mfa-enabled",{"type":35,"value":911},{"type":29,"tag":164,"props":940,"children":942},{"className":941},[],[943],{"type":35,"value":944},"access-keys-rotated",{"type":35,"value":946}," ve ",{"type":29,"tag":164,"props":948,"children":950},{"className":949},[],[951],{"type":35,"value":952},"ec2-imdsv2-check",{"type":35,"value":954}," kuralları bu kontrolleri otomatize eder. AWS Security Hub, bu kuralların sonuçlarını merkezi bir dashboard'da toplar ",{"type":29,"tag":44,"props":956,"children":958},{"link":957},"https:\u002F\u002Faws.amazon.com\u002Fsecurity-hub\u002F",[959],{"type":35,"value":960},"AWS Security Hub",{"type":35,"value":962},".",{"type":29,"tag":157,"props":964,"children":966},{"className":159,"code":965,"language":161,"meta":7,"style":7},"flowchart TD\n    A[Aylık Güvenlik Denetimi] --> B{Credential Report}\n    B -->|\"90+ gün kullanılmayan key\"| C[Devre Dışı Bırak]\n    B -->|Rotasyon süresi geçmiş| D[Zorunlu Rotasyon]\n    A --> E{IMDS HttpTokens}\n    E -->|optional| F[IMDSv2'ye Geçir]\n    A --> G{MFA Durumu}\n    G -->|Eksik| H[MFA Zorunlu Kıl]\n    \n    style C fill:#f9a825,color:#000\n    style D fill:#f9a825,color:#000\n    style F fill:#d32f2f,color:#fff\n    style H fill:#d32f2f,color:#fff\n",[967],{"type":29,"tag":164,"props":968,"children":969},{"__ignoreMap":7},[970,977,985,993,1001,1009,1017,1025,1033,1040,1048,1056,1064],{"type":29,"tag":168,"props":971,"children":972},{"class":170,"line":171},[973],{"type":29,"tag":168,"props":974,"children":975},{"style":175},[976],{"type":35,"value":178},{"type":29,"tag":168,"props":978,"children":979},{"class":170,"line":181},[980],{"type":29,"tag":168,"props":981,"children":982},{"style":175},[983],{"type":35,"value":984},"    A[Aylık Güvenlik Denetimi] --> B{Credential Report}\n",{"type":29,"tag":168,"props":986,"children":987},{"class":170,"line":190},[988],{"type":29,"tag":168,"props":989,"children":990},{"style":175},[991],{"type":35,"value":992},"    B -->|\"90+ gün kullanılmayan key\"| C[Devre Dışı Bırak]\n",{"type":29,"tag":168,"props":994,"children":995},{"class":170,"line":199},[996],{"type":29,"tag":168,"props":997,"children":998},{"style":175},[999],{"type":35,"value":1000},"    B -->|Rotasyon süresi geçmiş| D[Zorunlu Rotasyon]\n",{"type":29,"tag":168,"props":1002,"children":1003},{"class":170,"line":208},[1004],{"type":29,"tag":168,"props":1005,"children":1006},{"style":175},[1007],{"type":35,"value":1008},"    A --> E{IMDS HttpTokens}\n",{"type":29,"tag":168,"props":1010,"children":1011},{"class":170,"line":217},[1012],{"type":29,"tag":168,"props":1013,"children":1014},{"style":175},[1015],{"type":35,"value":1016},"    E -->|optional| F[IMDSv2'ye Geçir]\n",{"type":29,"tag":168,"props":1018,"children":1019},{"class":170,"line":226},[1020],{"type":29,"tag":168,"props":1021,"children":1022},{"style":175},[1023],{"type":35,"value":1024},"    A --> G{MFA Durumu}\n",{"type":29,"tag":168,"props":1026,"children":1027},{"class":170,"line":235},[1028],{"type":29,"tag":168,"props":1029,"children":1030},{"style":175},[1031],{"type":35,"value":1032},"    G -->|Eksik| H[MFA Zorunlu Kıl]\n",{"type":29,"tag":168,"props":1034,"children":1035},{"class":170,"line":244},[1036],{"type":29,"tag":168,"props":1037,"children":1038},{"style":175},[1039],{"type":35,"value":232},{"type":29,"tag":168,"props":1041,"children":1042},{"class":170,"line":541},[1043],{"type":29,"tag":168,"props":1044,"children":1045},{"style":175},[1046],{"type":35,"value":1047},"    style C fill:#f9a825,color:#000\n",{"type":29,"tag":168,"props":1049,"children":1050},{"class":170,"line":549},[1051],{"type":29,"tag":168,"props":1052,"children":1053},{"style":175},[1054],{"type":35,"value":1055},"    style D fill:#f9a825,color:#000\n",{"type":29,"tag":168,"props":1057,"children":1058},{"class":170,"line":764},[1059],{"type":29,"tag":168,"props":1060,"children":1061},{"style":175},[1062],{"type":35,"value":1063},"    style F fill:#d32f2f,color:#fff\n",{"type":29,"tag":168,"props":1065,"children":1066},{"class":170,"line":772},[1067],{"type":29,"tag":168,"props":1068,"children":1069},{"style":175},[1070],{"type":35,"value":1071},"    style H fill:#d32f2f,color:#fff\n",{"type":29,"tag":30,"props":1073,"children":1075},{"id":1074},"harekete-geçme-zamanı",[1076],{"type":35,"value":1077},"Harekete geçme zamanı",{"type":29,"tag":38,"props":1079,"children":1080},{},[1081],{"type":35,"value":1082},"Buraya kadar okuduğunuz her şey, uygulamaya dökülmediğinde yalnızca teoriden ibaret. AWS ortamınızın güvenliğini bugün sıkılaştırmak için atabileceğiniz üç hızlı adım:",{"type":29,"tag":1084,"props":1085,"children":1086},"ol",{},[1087,1097,1122],{"type":29,"tag":68,"props":1088,"children":1089},{},[1090,1095],{"type":29,"tag":74,"props":1091,"children":1092},{},[1093],{"type":35,"value":1094},"Credential report çekin.",{"type":35,"value":1096}," 90 gündür kullanılmayan her access key'i devre dışı bırakın.",{"type":29,"tag":68,"props":1098,"children":1099},{},[1100,1105,1107,1113,1115,1120],{"type":29,"tag":74,"props":1101,"children":1102},{},[1103],{"type":35,"value":1104},"IMDSv2'yi zorunlu kılın.",{"type":35,"value":1106}," Mevcut EC2 örneklerinde ",{"type":29,"tag":164,"props":1108,"children":1110},{"className":1109},[],[1111],{"type":35,"value":1112},"HttpTokens",{"type":35,"value":1114}," değerini ",{"type":29,"tag":164,"props":1116,"children":1118},{"className":1117},[],[1119],{"type":35,"value":822},{"type":35,"value":1121}," yapın.",{"type":29,"tag":68,"props":1123,"children":1124},{},[1125,1130],{"type":29,"tag":74,"props":1126,"children":1127},{},[1128],{"type":35,"value":1129},"MFA durumunu denetleyin.",{"type":35,"value":1131}," Root başta olmak üzere tüm insan kullanıcılar için MFA'yı zorunlu kılın.",{"type":29,"tag":38,"props":1133,"children":1134},{},[1135],{"type":35,"value":1136},"Bu üç adım, önümüzdeki bir saat içinde tamamlanabilir. Capital One'ın 190 milyon dolarlık dersini tekrar etmeye gerek yok.",{"type":29,"tag":403,"props":1138,"children":1140},{"id":1139},"sıkça-sorulan-sorular-faq",[1141],{"type":35,"value":1142},"Sıkça Sorulan Sorular (FAQ)",{"type":29,"tag":1144,"props":1145,"children":1147},"folding",{"title":1146},"Root hesabıma access key oluşturmak zorunda mıyım?",[1148],{"type":29,"tag":38,"props":1149,"children":1150},{},[1151,1153,1159],{"type":35,"value":1152},"Hayır, tam tersine oluşturulmamalıdır. AWS'nin 2024'te yayımladığı güvenlik en iyi pratikleri rehberi, root kullanıcısı için access key oluşturulmamasını ilk madde olarak listeliyor ",{"type":29,"tag":44,"props":1154,"children":1156},{"link":1155},"https:\u002F\u002Fdocs.aws.amazon.com\u002FIAM\u002Flatest\u002FUserGuide\u002Fbest-practices.html",[1157],{"type":35,"value":1158},"AWS Documentation",{"type":35,"value":1160},". Root yalnızca konsol üzerinden, MFA ile ve acil durumlarda kullanılmalıdır.",{"type":29,"tag":1144,"props":1162,"children":1164},{"title":1163},"Geçici anahtar kullanırken Session Token neden zorunlu?",[1165],{"type":29,"tag":38,"props":1166,"children":1167},{},[1168,1170,1174],{"type":35,"value":1169},"Session Token, isteğin geçerli bir STS oturumundan geldiğini kanıtlayan kriptografik bileşendir. Bu üçlü (Access Key, Secret Key, Session Token) olmadan AWS API isteği reddedilir. AWS STS, oturum başına benzersiz bir token üreterek çalınan geçici anahtarların yeniden oynatılmasını zorlaştırır. GitHub Secret Scanning 2024 verilerine göre sızan anahtarların çoğu uzun vadeli AKIA tipinde; ASIA anahtarlarının kısa ömrü onları daha az hedef haline getiriyor ",{"type":29,"tag":44,"props":1171,"children":1172},{"link":84},[1173],{"type":35,"value":391},{"type":35,"value":962},{"type":29,"tag":1144,"props":1176,"children":1178},{"title":1177},"IMDSv2'ye geçmek uygulamaları bozar mı?",[1179],{"type":29,"tag":38,"props":1180,"children":1181},{},[1182,1184,1188,1190,1196],{"type":35,"value":1183},"IMDSv1'e bağımlı eski SDK'lar veya özel kodlar etkilenebilir. AWS, IMDSv2'yi Mart 2024'te yeni örnekler için varsayılan yaptı ",{"type":29,"tag":44,"props":1185,"children":1186},{"link":803},[1187],{"type":35,"value":806},{"type":35,"value":1189},". SDK'ların son sürümleri varsayılan olarak IMDSv2'yi destekler. Geçiş öncesinde ",{"type":29,"tag":164,"props":1191,"children":1193},{"className":1192},[],[1194],{"type":35,"value":1195},"optional",{"type":35,"value":1197}," modda başlayıp CloudWatch metrikleriyle v1 çağrılarını izlemek, risksiz bir yol sunar.",{"type":29,"tag":30,"props":1199,"children":1201},{"id":1200},"sonuç",[1202],{"type":35,"value":1203},"Sonuç",{"type":29,"tag":38,"props":1205,"children":1206},{},[1207],{"type":35,"value":1208},"AWS kimlik bilgisi yönetimi, üzerinde en az konuşulan ama ihlal anında en ağır faturayı çıkaran güvenlik katmanıdır. Özetle:",{"type":29,"tag":64,"props":1210,"children":1211},{},[1212,1217,1222,1227,1232],{"type":29,"tag":68,"props":1213,"children":1214},{},[1215],{"type":35,"value":1216},"Root hesabı MFA ile kilitleyin ve günlük işlerden uzak tutun.",{"type":29,"tag":68,"props":1218,"children":1219},{},[1220],{"type":35,"value":1221},"Uzun vadeli access key'leri azaltın, rotasyonu otomatikleştirin.",{"type":29,"tag":68,"props":1223,"children":1224},{},[1225],{"type":35,"value":1226},"IMDSv2'yi zorunlu kılın; Capital One benzeri bir SSRF açığının maliyeti hesaplanamaz.",{"type":29,"tag":68,"props":1228,"children":1229},{},[1230],{"type":35,"value":1231},"MFA'yı tüm insan kullanıcılar için zorunlu tutun.",{"type":29,"tag":68,"props":1233,"children":1234},{},[1235],{"type":35,"value":1236},"Aylık denetimleri AWS Config ve Security Hub ile otomatize edin.",{"type":29,"tag":38,"props":1238,"children":1239},{},[1240],{"type":35,"value":1241},"Bulut ortamında dolaşan her access key, her rol token'ı ve her metadata çağrısı, savunulması gereken bir yüzeydir. Görünmez olanı görünür kılmak, güvenliğin ilk adımıdır.",{"type":29,"tag":1243,"props":1244,"children":1245},"style",{},[1246],{"type":35,"value":1247},"html .default .shiki span {color: var(--shiki-default);background: var(--shiki-default-bg);font-style: var(--shiki-default-font-style);font-weight: var(--shiki-default-font-weight);text-decoration: var(--shiki-default-text-decoration);}html .shiki span {color: var(--shiki-default);background: var(--shiki-default-bg);font-style: var(--shiki-default-font-style);font-weight: var(--shiki-default-font-weight);text-decoration: var(--shiki-default-text-decoration);}html .dark .shiki span {color: var(--shiki-dark);background: var(--shiki-dark-bg);font-style: var(--shiki-dark-font-style);font-weight: var(--shiki-dark-font-weight);text-decoration: var(--shiki-dark-text-decoration);}html.dark .shiki span {color: var(--shiki-dark);background: var(--shiki-dark-bg);font-style: var(--shiki-dark-font-style);font-weight: var(--shiki-dark-font-weight);text-decoration: var(--shiki-dark-text-decoration);}",{"title":7,"searchDepth":199,"depth":199,"links":1249},[1250,1251,1252,1253,1257,1258,1261,1262,1265],{"id":32,"depth":181,"text":36},{"id":111,"depth":181,"text":114},{"id":289,"depth":181,"text":292},{"id":378,"depth":181,"text":381,"children":1254},[1255,1256],{"id":405,"depth":190,"text":408},{"id":437,"depth":190,"text":440},{"id":587,"depth":181,"text":590},{"id":628,"depth":181,"text":631,"children":1259},[1260],{"id":639,"depth":190,"text":642},{"id":827,"depth":181,"text":830},{"id":1074,"depth":181,"text":1077,"children":1263},[1264],{"id":1139,"depth":190,"text":1142},{"id":1200,"depth":181,"text":1203},"markdown","content:posts:2026:aws-iam-kimlik-bilgileri-guvenli-yonetimi.md","content","posts\u002F2026\u002Faws-iam-kimlik-bilgileri-guvenli-yonetimi.md","posts\u002F2026\u002Faws-iam-kimlik-bilgileri-guvenli-yonetimi","md","\u002Fposts",[1274,1278],{"_path":1275,"title":1276,"date":1277},"\u002F2026\u002Faws-resource-policy-ve-scp-farki","AWS Resource Policy ve SCP Farkı Nedir? Güvenlik Açısından Bilmen Gerekenler","2026-04-24T07:37:42.000Z",{"_path":1279,"title":1280,"date":1281},"\u002F2026\u002Faws-iam-least-privilege-rehberi","IAM’de En Az Ayrıcalık: Neden Bu Kadar Önemli ve Nasıl Uygulanır?","2026-04-25T20:07:00.000Z",1780419439965]