[Документация Yandex Cloud](../../index.md) > [Yandex Identity and Access Management](../index.md) > [Пошаговые инструкции](index.md) > Обработка секретов, попавших в открытый доступ

# Обработка секретов, попавших в открытый доступ

Yandex Cloud автоматически ищет секреты в открытом доступе. В случае обнаружения секрета в открытом доступе владельцу организации или пользователю, который в соответствии с настройками организации принимает оповещения от сервиса Identity and Access Management, придет письмо с адреса технической поддержки Yandex Cloud. Чтобы обеспечить безопасность ваших данных и инфраструктуры, внимательно следите за использованием секретов.

Если секреты были скомпрометированы:

1. [Отзовите и перевыпустите секреты](#revoke-credentials).
1. [Проверьте наличие несанкционированных действий](#searching-unauthorized-access).
1. [Удалите несанкционированные ресурсы](#delete-unauthorized-resources).
1. [Обратитесь в службу технической поддержки](#support).
1. [Выполните рекомендации по построению безопасной инфраструктуры](#recommendations).

## Отзовите и перевыпустите секреты {#revoke-credentials}

### IAM-токен {#iam-reissue}

Чтобы злоумышленник не смог использовать токен:

1. [Отзовите](iam-token/revoke-iam-token.md) скомпрометированный IAM-токен.
1. Создайте новый IAM-токен:

    * [Для аккаунта на Яндексе](iam-token/create.md);
    * [Для сервисного аккаунта](iam-token/create-for-sa.md);
    * [Для федеративного аккаунта](iam-token/create-for-federation.md).

### OAuth-токен {#oauth-reissue}

{% note info "Аутентификация по OAuth-токенам устарела" %}

Этот способ аутентификации больше не поддерживается. Рассмотрите использование [IAM-токенов](../concepts/authorization/iam-token.md) или [API-ключей](../concepts/authorization/api-key.md).

{% endnote %}

OAuth-токен можно отозвать. При этом IAM-токены, для получения которых использовался OAuth-токен, продолжат действовать. Поэтому все такие IAM-токены также должны быть отозваны.

Чтобы злоумышленник не смог использовать токен:

1. [Отзовите](https://id.yandex.ru/personal/data-access) OAuth-токен. Для этого нужно [отозвать](https://yandex.ru/dev/id/doc/dg/oauth/reference/token-invalidate.html) доступ приложения Yandex Cloud.
1. [Отзовите](iam-token/revoke-iam-token.md) все IAM-токены, для получения которых использовался скомпрометированный OAuth-токен.
1. [Получите новый OAuth-токен](https://oauth.yandex.ru/authorize?response_type=token&client_id=1a6990aa636648e9b2ef855fa7bec2fb).

### Авторизованный ключ {#key-reissue}

Если вам нужно максимально быстро пресечь угрозы со стороны скомпрометированного ключа, [удалите](sa/delete.md) сервисный аккаунт.

Если для вас важнее непрерывность процесса, в котором участвует сервисный аккаунт, перевыпустите авторизованные ключи:

1. [Создайте новый авторизованный ключ](authentication/manage-authorized-keys.md#create-authorized-key) для сервисного аккаунта.
1. Предоставьте новый авторизованный ключ сервисам и пользователям, которые его используют.
1. [Получите IAM-токен](iam-token/create-for-sa.md) для нового авторизованного ключа.
1. [Удалите старый авторизованный ключ](authentication/manage-authorized-keys.md#delete-authorized-key).

Когда вы удалите авторизованный ключ, соответствующий ему IAM-токен перестанет действовать. Этого достаточно, чтобы исключить угрозы со стороны скомпрометированного ключа.

### JWT {#jwt-reissue}

Выполните действия, описанные в разделе [Авторизованный ключ](#key-reissue).

### Статический ключ {#access-key-reissue}

1. [Создайте новый статический ключ](authentication/manage-access-keys.md#create-access-key) для сервисного аккаунта.
1. Предоставьте новый статический ключ сервисам и пользователям, которые его используют.
1. [Удалите старый статический ключ](authentication/manage-access-keys.md#delete-access-key).

### API-ключ {#api-key-reissue}

1. [Создайте новый API-ключ](authentication/manage-api-keys.md#create-api-key) для сервисного аккаунта.
1. Предоставьте новый API-ключ сервисам и пользователям, которые его используют.
1. [Удалите старый API-ключ](authentication/manage-api-keys.md#delete-api-key).

### Серверный ключ SmartCaptcha {#captcha-server-key}

[Создайте новую капчу](../../smartcaptcha/quickstart.md#creat-captcha) и на странице сайта замените ей старую капчу, [серверный ключ](../../smartcaptcha/concepts/keys.md) которой попал в открытый доступ.

### Cookie {#cookie-invalidation}

Прекратите действие cookie:

1. [Измените пароль](https://yandex.ru/support/id/profile.html) Яндекс ID. 
1. [Авторизуйтесь в Яндекс ID](https://passport.yandex.ru/) с новым паролем.

## Проверьте наличие несанкционированных действий {#searching-unauthorized-access}

Проанализируйте доступ к вашим ресурсам Yandex Cloud:

1. [Изучите записи](../../logging/operations/read-logs.md) Cloud Logging.
1. Выполните [поиск событий](../../audit-trails/tutorials/search-events-audit-logs/index.md) в бакете или лог-группе Audit Trails.
1. Убедитесь, что все события, в том числе связанные с утечкой секретов, соответствуют ожиданиям.

{% note tip %}

Вы можете настроить [экспорт аудитных логов в SIEM](../../audit-trails/concepts/export-siem.md).

{% endnote %}

## Удалите несанкционированные ресурсы {#delete-unauthorized-resources}

1. Проверьте, не появились ли в Yandex Cloud ресурсы, которые вы не создавали, например [виртуальные машины](../../glossary/vm.md), хранилища данных, базы данных, [функции](../../functions/concepts/function.md), API-шлюзы и т. д.
1. Удалите несанкционированные ресурсы.

## Обратитесь в службу технической поддержки {#support}

Сообщите в [службу технической поддержки](https://kz.center.yandex.cloud/support) об инциденте. Эта информация поможет усовершенствовать защиту секретов в будущих релизах Yandex Cloud.

Подробнее о [порядке оказания технической поддержки](../../support/overview.md).