Skal mit AWS-konto-id holdes hemmeligt? Kan der overhovedet gøres noget ved kun at bruge AWS-konto-idet?
Fra AWS-dokumentation :
AWS-konto-idet er et 12-cifret nummer, såsom 123456789012, som du bruger til at konstruere Amazon Resource Names (ARNs). Når du henviser til ressourcer, såsom en IAM-bruger eller en Amazon Glacier-hvælving, skelner konto-idet dine ressourcer fra ressourcer i andre AWS-konti.
Svar
Et AWS-konto-id kan deles, når det er nødvendigt.
Som dokumentationen siger, er det vigtigste, enhver kan bruge din AWS Kontonummer for er at konstruere ARN “s. Hvis jeg f.eks. Havde en AWS-konto, der havde en AWS Lambda-funktion, og nogen på en anden konto, som jeg udtrykkeligt havde givet tilladelse til, ville manipulere den, ville de bruge dem efter konto nummer i ARN.
arn:aws:lambda:us-east-1:123456789012:function:ProcessKinesisRecords Igen er dette fuldstændigt begrænset af de tilladelser, der anvendes på din konto. Selvom jeg havde en fuld ARN, medmindre du giver min AWS-kontoadgang, jeg kan ikke gøre noget med det.
API-nøgler er de ting, der giver fjernstyring af ting, og er farlige.
Kommentarer
- Det er korrekt. AWS giver dig nu mulighed for at dele offentligt tilgængelige lambda-lag, der deles via ARNer, der indeholder din konto-id. Selvom det altid er bedre at ikke dele noget, medmindre du skal – noget, du bare skal dele din konto-id i form af et ARN.
Svar
At kende et AWS-konto-id udsætter dig ikke for noget angreb i sig selv, men det kan gøre det lettere for en hacker at få andre kompromitterende oplysninger.
Rhino Security Labs demonstrerer en potentiel kompromisvektor via forkert konfigurerede IAM-roller i et blogindlæg her :
AWS-konto-ider identificerer entydigt alle AWS-konti og er mere følsomme, end du måske tror. Mens videregivelse af idet ikke direkte udsætter en konto for kompromis, kan en angriber bruge disse oplysninger i andre angreb. En rimelig indsats bør gøres for at holde AWS konto-ider private, men i praksis udsættes de ofte for offentligheden utilsigtet.
[…]
Dette indlæg – og det medfølgende script, vi har frigivet – adresserer usi ng et AWS-konto-id for at identificere eksisterende roller. Som en udvidelse af dette koncept kan angribere gå et skridt videre og antage miskonfigurerede IAM-roller for at få uautoriseret adgang.
Dette vil kun være effektivt i sagen hvor en bruger tillader rolletagning fra * eller fra en alt for bred vifte af ressourcer, men i mine erfaringer er IAM-tilladelser komplekse og rimeligt svære at kontrollere godt, og angreb som dette er svære at opdage:
Denne bruteforceringsteknik og script genererer en stor mængde “iam: AssumeRole” CloudTrail-logfiler på den konto, du bruger til optælling. Enhver konto, du målretter mod, kan ikke se noget i deres CloudTrail-logfiler, før du med succes antager en forkert konfigureret rolle, så det betyder, at optælling er fuldstændig logfri på målkontoen.
Med andre ord – det er ikke iboende en risiko, men det reducerer angrebsoverfladen på din konto meningsfuldt for at holde IDet ude af offentligheden.
Kommentarer
- Jeg ' har også læst den artikel, at indlægget pynter lidt på ting, de havde brug for en ægte IAM-kredit + AWS-acct. Jeg ' sige, hvis nogen har et login til kontoen, er det ', der allerede er i spil på grund af situation. Lækage af AWS-acct ID er næppe det, der udløste angrebet.