Mon ID de compte AWS doit-il rester secret? Peut-on faire quoi que ce soit en utilisant uniquement lID de compte AWS?
Dans la documentation AWS :
LID de compte AWS est un numéro à 12 chiffres, tel que 123456789012, que vous utilisez pour créer des noms de ressources Amazon (ARN). Lorsque vous faites référence à des ressources, telles quun utilisateur IAM ou un coffre Amazon Glacier, lID de compte distingue vos ressources des ressources dautres comptes AWS.
Réponse
Un identifiant de compte AWS peut être partagé, si nécessaire.
Comme le dit la documentation, la principale chose que tout le monde peut utiliser votre AWS Le numéro de compte pour est de construire des ARN. Par exemple, si javais un compte AWS qui détenait une fonction AWS Lambda, et que quelquun sur un autre compte, à qui javais explicitement accordé lautorisation, voulait le manipuler, il lutiliserait par compte numéro dans lARN.
arn:aws:lambda:us-east-1:123456789012:function:ProcessKinesisRecords Encore une fois, cela est totalement limité par les autorisations appliquées à votre compte. Même si javais un ARN complet, sauf si vous donnez mon Accès au compte AWS, je ne pourrai rien faire avec.
Les clés API sont les éléments qui permettent le contrôle à distance des choses et sont dangereuses.
Commentaires
- Cest correct. AWS vous permet désormais de partager des couches lambda accessibles au public, qui sont partagées via des ARN contenant votre identifiant de compte. Bien quil soit toujours préférable de ne rien partager sauf si vous y êtes obligé – il vous suffit de partager votre identifiant de compte sous la forme dun ARN.
Réponse
Connaître un ID de compte AWS ne vous expose à aucune attaque en soi, mais cela peut permettre à un attaquant dobtenir plus facilement dautres informations compromettantes.
Rhino Security Les laboratoires démontrent un vecteur de compromis potentiel via des rôles IAM mal configurés dans un article de blog ici :
Les ID de compte AWS identifient de manière unique chaque compte AWS et sont plus sensibles que vous ne le pensez. Bien que la divulgation de lID nexpose pas directement un compte à un compromis, un attaquant peut exploiter ces informations dans dautres attaques. Un effort raisonnable doit être fait pour conserver AWS identifiants de compte privés, mais dans la pratique, ils sont souvent exposés au public sans le vouloir.
[…]
Ce message – et le script daccompagnement que nous avons publié – sadresse à nous ng un ID de compte AWS pour identifier les rôles existants. Dans le prolongement de ce concept, les attaquants peuvent aller plus loin et assumer des rôles IAM mal configurés pour obtenir un accès non autorisé.
Cela ne sera efficace que dans le cas où un utilisateur autorise la prise en charge du rôle à partir de * ou dun trop large éventail de ressources, mais daprès mon expérience, les autorisations IAM sont complexes et raisonnablement difficiles à bien auditer, et les attaques comme celle-ci sont difficiles à détecter:
Cette technique et ce script de force brute généreront une grande quantité de journaux CloudTrail «iam: AssumeRole» dans le compte que vous utilisez pour lénumération. Les comptes que vous ciblez ne verront rien dans leurs journaux CloudTrail jusquà ce que vous assumiez avec succès un rôle mal configuré, ce qui signifie que lénumération est complètement sans journal sur le compte cible.
En dautres termes, ce nest pas intrinsèquement un risque, mais cela réduit considérablement la surface dattaque de votre compte pour garder lID hors de la vue du public.
Commentaires
- Jai ' lu cet article aussi, cet article embellit un peu les choses, ils devaient avoir un vrai crédit IAM + le compte AWS. Je ' d dire si quelquun a une connexion au compte, il ' est déjà en jeu sur le type de situation. Fuite de lID de compte AWS nest guère ce qui a précipité lattaque.