Il mio ID account AWS deve essere mantenuto segreto? È possibile fare qualcosa utilizzando solo lID account AWS?
Dalla documentazione AWS :
LID account AWS è un numero di 12 cifre, come 123456789012, che utilizzi per costruire Amazon Resource Names (ARN). Quando fai riferimento a risorse, come un utente IAM o un vault Amazon Glacier, lID account distingue le tue risorse dalle risorse in altri account AWS.
Risposta
Un ID account AWS può essere condiviso, quando richiesto.
Come dice la documentazione, la cosa principale che chiunque può utilizzare il tuo AWS Il numero di account per è quello di costruire gli ARN. Ad esempio, se avessi un account AWS che deteneva una funzione AWS Lambda e qualcuno su un altro account, a cui avevo esplicitamente concesso lautorizzazione, volesse manipolarlo, lo userebbe per account numero nellARN.
arn:aws:lambda:us-east-1:123456789012:function:ProcessKinesisRecords
Di nuovo, questo è totalmente limitato dalle autorizzazioni applicate al tuo account. Anche se avessi un ARN completo, a meno che tu non fornisca il mio Accesso allaccount AWS, non potrò farci niente.
Le chiavi API sono le cose che garantiscono il controllo remoto delle cose e sono pericolose.
Commenti
- È corretto. AWS ora ti consente di condividere layer lambda pubblicamente disponibili, condivisi tramite ARN che contengono lID del tuo account. Sebbene sia sempre meglio non condividere nulla a meno che non sia necessario, qualcosa devi solo condividere lID del tuo account sotto forma di ARN.
Risposta
Conoscere un ID account AWS non ti espone ad alcun attacco di per sé, ma può rendere più facile per un utente malintenzionato ottenere altre informazioni compromettenti.
Rhino Security I laboratori dimostrano un potenziale vettore di compromesso tramite ruoli IAM configurati in modo errato in un post del blog qui :
Gli ID account AWS identificano in modo univoco ogni account AWS e sono più sensibili di quanto si possa pensare. Sebbene la divulgazione dellID non esponga direttamente un account a una compromissione, un utente malintenzionato può sfruttare queste informazioni in altri attacchi. È necessario compiere uno sforzo ragionevole per mantenere AWS ID account privati, ma in pratica sono spesso esposti al pubblico involontariamente.
[…]
Questo post – e lo script di accompagnamento che abbiamo rilasciato – si rivolge a usi ng un ID account AWS per identificare i ruoli esistenti. Come estensione di questo concetto, gli aggressori possono fare un ulteriore passo avanti e assumere ruoli IAM configurati in modo errato per ottenere un accesso non autorizzato.
Ciò sarà efficace solo nel caso dove un utente consente lassunzione di ruolo da * o da una gamma troppo ampia di risorse, ma nella mia esperienza le autorizzazioni IAM sono complesse e ragionevolmente difficili da controllare bene, e attacchi come questo sono difficili da rilevare:
Questa tecnica e script di forzatura genererà una grande quantità di log CloudTrail “iam: AssumeRole” nellaccount che stai utilizzando per lenumerazione. Qualsiasi account scelto come target non vedrà nulla nei log di CloudTrail fino a quando non assumerai correttamente un ruolo configurato in modo errato, quindi lenumerazione è completamente priva di log sullaccount di destinazione.
In altre parole, non è intrinsecamente un rischio, ma riduce in modo significativo la superficie di attacco del tuo account per tenere lID lontano dagli occhi del pubblico.
Commenti
- Anchio ' ho letto anche quellarticolo, quel post abbellisce un po le cose, dovevano avere un vero credito IAM + laccount AWS. I ' Direi che se qualcuno ha un accesso allaccount ' sta già entrando nel gioco del tipo di situazione. Perdita dellID account AWS non è certo ciò che ha provocato lattacco.