Musí být moje ID účtu AWS utajeno? Lze vůbec něco udělat pouze pomocí ID účtu AWS?
Z dokumentace AWS :
ID účtu AWS je 12místné číslo, například 123456789012, které používáte k vytvoření názvů zdrojů Amazon (ARN). Když odkazujete na zdroje, jako je uživatel IAM nebo trezor Amazon Glacier, ID účtu odlišuje vaše zdroje od zdrojů v jiných účtech AWS.
Odpověď
ID účtu AWS lze v případě potřeby sdílet.
Jak říká dokumentace, hlavní věc, kterou může váš AWS použít kdokoli Číslo účtu pro je postavit ARN. Například kdybych měl účet AWS, který držel funkci AWS Lambda, a někdo na jiném účtu, kterému jsem výslovně udělil svolení, s ním chtěl manipulovat, použil by účet číslo v ARN.
arn:aws:lambda:us-east-1:123456789012:function:ProcessKinesisRecords Znovu je to zcela omezeno oprávněními použitými ve vašem účtu. I kdybych měl úplné ARN, pokud mi nedáte Přístup k účtu AWS, nebudu s ním moci nic dělat.
Klíče API jsou věci, které umožňují vzdálenou kontrolu věcí a jsou nebezpečné.
Komentáře
- Správně. AWS vám nyní umožňuje sdílet veřejně dostupné vrstvy lambda, které jsou sdíleny prostřednictvím ARN, které obsahují vaše ID účtu. I když je vždy lepší, abyste nic nesdíleli, pokud nemusíte – něco, co musíte sdílet, je ID vašeho účtu ve formě ARN.
Odpovědět
Znalost ID účtu AWS vás sama o sobě nevystaví žádnému útoku, ale může útočníkovi usnadnit získání dalších kompromitujících informací.
Zabezpečení Rhina Laboratoře demonstrují potenciální kompromisní vektor prostřednictvím nesprávně nakonfigurovaných rolí IAM v blogovém příspěvku zde :
ID účtu AWS jednoznačně identifikují každý účet AWS a jsou citlivější, než si myslíte. I když prozrazení ID přímo nevystavuje účet kompromisu, může útočník tyto informace využít při dalších útocích. Je třeba vyvinout přiměřené úsilí, aby AWS ID účtu jsou soukromá, ale v praxi jsou často neúmyslně vystavena veřejnosti.
[…]
Tento příspěvek – a doprovodný skript, který jsme vydali – oslovte nás ID účtu AWS k identifikaci stávajících rolí. Jako rozšíření tohoto konceptu mohou útočníci jít o krok dále a převzít nesprávně nakonfigurované role IAM, aby získali neoprávněný přístup.
Bude to účinné pouze v případě kde uživatel umožňuje převzetí role z * nebo z příliš širokého rozsahu zdrojů, ale podle mých zkušeností jsou oprávnění IAM složitá a přiměřeně obtížně dobře auditovatelná a útoky jako je tento je těžké odhalit:
Tato technika a skript bruteforcing vygeneruje velké množství protokolů „iam: AssumeRole“ CloudTrail v účtu, který používáte pro výčet. Žádný účet, na který cílíte, neuvidí nic v jeho protokolech CloudTrail, dokud úspěšně nepřijmete nesprávně nakonfigurovanou roli, což znamená, že výčet je na cílovém účtu zcela bez protokolu.
Jinými slovy – nejde o skutečné riziko, ale smysluplně snižuje útočnou plochu vašeho účtu, aby bylo ID chráněno před veřejností.
Komentáře
- I ' jsem si přečetl i tento článek, tento příspěvek tak trochu zdobí věci, potřebovali mít skutečný kredit IAM + účet AWS. I ' řekněme, že pokud má někdo přihlášení k účtu, ' se již dostává do hry o typ situace. Únik z AWS účtu ID je sotva to, co urychlilo útok.