Muss meine AWS-Konto-ID geheim gehalten werden? Kann mit der AWS-Konto-ID überhaupt etwas getan werden?
Aus der AWS-Dokumentation :
Die AWS-Konto-ID ist eine 12-stellige Nummer, z. B. 123456789012, mit der Sie Amazon Resource Names (ARNs) erstellen. Wenn Sie auf Ressourcen wie einen IAM-Benutzer oder einen Amazon Glacier-Tresor verweisen, unterscheidet die Konto-ID Ihre Ressourcen von Ressourcen in anderen AWS-Konten.
Antwort
Eine AWS-Konto-ID kann bei Bedarf freigegeben werden.
Wie in der Dokumentation angegeben, kann jeder Ihr AWS verwenden Die Kontonummer für dient zum Erstellen von ARNs. Wenn ich beispielsweise ein AWS-Konto mit einer AWS Lambda-Funktion hätte und jemand auf einem anderen Konto, dem ich ausdrücklich die Erlaubnis erteilt hatte, es manipulieren wollte, würde er es nach Konto verwenden Nummer in der ARN.
arn:aws:lambda:us-east-1:123456789012:function:ProcessKinesisRecords Auch dies ist durch die auf Ihr Konto angewendeten Berechtigungen völlig eingeschränkt. Selbst wenn ich eine vollständige ARN hatte, es sei denn, Sie geben meine Beim Zugriff auf ein AWS-Konto kann ich nichts damit anfangen.
API-Schlüssel sind die Dinge, die die Fernsteuerung von Dingen ermöglichen und gefährlich sind.
Kommentare
- Das stimmt. Mit AWS können Sie jetzt öffentlich verfügbare Lambda-Ebenen freigeben, die über ARNs freigegeben werden, die Ihre Konto-ID enthalten. Es ist zwar immer besser, nichts zu teilen, es sei denn, Sie müssen – etwas, das Sie nur Ihre Konto-ID in Form einer ARN teilen müssen.
Antwort
Wenn Sie eine AWS-Konto-ID kennen, sind Sie keinem Angriff an sich ausgesetzt, aber es kann einem Angreifer leichter fallen, andere kompromittierende Informationen zu erhalten.
Rhino Security Labore demonstrieren einen möglichen Kompromissvektor über falsch konfigurierte IAM-Rollen in einem Blog-Beitrag hier :
AWS-Konto-IDs identifizieren jedes AWS-Konto eindeutig und sind sensibler als Sie vielleicht denken. Während die Weitergabe der ID ein Konto nicht direkt gefährdet, kann ein Angreifer diese Informationen bei anderen Angriffen nutzen. Es sollten angemessene Anstrengungen unternommen werden, um AWS beizubehalten Konto-IDs sind privat, aber in der Praxis werden sie häufig unbeabsichtigt der Öffentlichkeit zugänglich gemacht.
[…]
Dieser Beitrag – und das von uns veröffentlichte zugehörige Skript – richten sich an usi ng eine AWS-Konto-ID, um vorhandene Rollen zu identifizieren. Als Erweiterung dieses Konzepts können Angreifer einen Schritt weiter gehen und falsch konfigurierte IAM-Rollen übernehmen, um nicht autorisierten Zugriff zu erhalten.
Dies ist nur in diesem Fall wirksam Wenn ein Benutzer die Rollenübernahme von * oder aus einem zu großen Bereich von Ressourcen zulässt, aber meiner Erfahrung nach IAM-Berechtigungen komplex und relativ schwer zu überprüfen sind und Angriffe wie diese schwer zu erkennen sind:
Diese Bruteforcing-Technik und dieses Skript generieren eine große Anzahl von CloudTrail-Protokollen „iam: AssumeRole“ in dem Konto, das Sie für die Aufzählung verwenden. Jedes Konto, auf das Sie abzielen, wird erst dann in den CloudTrail-Protokollen angezeigt, wenn Sie erfolgreich eine falsch konfigurierte Rolle übernommen haben. Dies bedeutet, dass die Aufzählung für das Zielkonto vollständig protokollfrei ist.
Mit anderen Worten – es ist an sich kein Risiko, aber es reduziert die Angriffsfläche Ihres Kontos erheblich, um die ID nicht in die Öffentlichkeit zu bringen.
Kommentare
- Ich ' habe auch diesen Artikel gelesen, dieser Beitrag verschönert die Dinge ein wenig, sie mussten einen echten IAM-Kredit + das AWS-Konto haben. I ' Wenn jemand ein Login für das Konto hat, wird ' bereits über die Art der Situation ins Spiel gebracht. Undichtigkeit der AWS-Konto-ID ist kaum das, was den Angriff ausgelöst hat.