Pitääkö AWS-tilini tunnuksen salassa? Voiko mitään tehdä vain AWS-tilin tunnuksella?
AWS-tilin tunnus on 12-numeroinen numero, kuten 123456789012, jota käytät Amazon-resurssien nimien (ARN) luomiseen. Kun viitat resursseihin, kuten IAM-käyttäjä tai Amazon Glacier -holvi, tilin tunnus erottaa resurssit muiden AWS-tilien resursseista.
vastaus
AWS-tilin tunnus voidaan tarvittaessa jakaa.
Kuten dokumentaatiossa sanotaan, tärkein asia, jota kuka tahansa voi käyttää AWS: ääsi Tilin numero on ARN: n muodostaminen. Jos esimerkiksi minulla olisi AWS-tili, jolla oli AWS Lambda -toiminto, ja jos joku toisella tilillä, jolle olin nimenomaisesti myöntänyt luvan, halusi manipuloida sitä, hän käyttäisi tilien mukaan numero ARN: ssä.
arn:aws:lambda:us-east-1:123456789012:function:ProcessKinesisRecords
Jälleen tämä on täysin rajoitettua tililläsi sovelletuilla oikeuksilla. Vaikka minulla olisi täysi ARN, ellet anna AWS-tilin käyttöoikeus, en voi tehdä mitään sen kanssa.
API-avaimet ovat asioita, jotka antavat asioiden kauko-ohjauksen ja ovat vaarallisia.
Kommentit
- Se on totta. AWS: n avulla voit nyt jakaa julkisesti saatavilla olevia lambda-tasoja, jotka jaetaan ARN: ien kautta, jotka sisältävät tilisi tunnuksen. Vaikka on aina parempi olla jakamatta mitään, ellei sinun tarvitse – jotain, sinun on vain jaettava tilitunnuksesi ARN-muodossa.
Vastaa
AWS-tilin tunnuksen tunteminen ei altista minkäänlaiselle hyökkäykselle itsessään, mutta se voi helpottaa hyökkääjän hankkimasta muita vaarantavia tietoja.
Rhino Security Labs osoittaa potentiaalisen kompromissivektorin väärin määritettyjen IAM-roolien kautta täällä olevassa blogiviestissä :
AWS-tilitunnukset tunnistavat yksilöllisesti kaikki AWS-tilit ja ovat herkempiä kuin luulisi. Vaikka henkilöllisyystodistuksen julkistaminen ei altista tiliä suoraan kompromisseille, hyökkääjä voi hyödyntää näitä tietoja muissa hyökkäyksissä. AWS: n pitämiseksi kohtuullisina on pyrittävä tilitunnukset ovat yksityisiä, mutta käytännössä ne ovat usein alttiina yleisölle tahattomasti.
[…]
Tämä viesti – ja siihen liittyvä julkaisemamme komentosarja – osoite usi ng AWS-tilin tunnus olemassa olevien roolien tunnistamiseksi. Tämän käsitteen laajennuksena hyökkääjät voivat mennä askeleen pidemmälle ja ottaa väärin määritetyt IAM-roolit saadakseen luvattoman pääsyn.
Tämä on tehokasta vain siinä tapauksessa, että missä käyttäjä sallii roolin oletuksen * tai liian laajasta resurssivalikoimasta, mutta kokemukseni mukaan IAM-käyttöoikeudet ovat monimutkaisia ja kohtuullisen vaikea tarkastaa hyvin, ja tällaisia hyökkäyksiä on vaikea havaita:
Tämä bruteforcing-tekniikka ja komentosarja tuottavat suuren määrän iam: AssumeRole-CloudTrail-lokeja tilissä, jota käytät luettelointia varten. Kohdistamasi tili ei näe mitään CloudTrail-lokissaan, ennen kuin olet määrittänyt väärin määritetyn roolin, mikä tarkoittaa, että luettelointi on täysin lokitonta kohdetilillä.
Toisin sanoen – se ei ole luonnostaan riski, mutta se vähentää merkittävästi tilisi hyökkäyspintaa, jotta henkilöllisyystodistus ei ole yleisön nähtävissä.
Kommentit
- Olen ' lukenut myös tämän artikkelin, että viesti kaunistaa asioita hieman, heillä oli oltava todellinen IAM-luottokortti + AWS-asiakirja. I ' d sanoa, jos joku on kirjautunut tiliisi, ' on jo pääsemässä peliin tyypin tilanteesta. AWS-tilin tunnus vuotaa on tuskin mikä sai aikaan hyökkäyksen.