AWSアカウントIDを秘密にしておく必要がありますか? AWSアカウントIDだけを使用して何かを行うことはできますか?
AWSドキュメントから:
AWSアカウントIDは、Amazonリソースネーム(ARN)の作成に使用する123456789012などの12桁の番号です。 IAMユーザーやAmazonGlacierボールトなどのリソースを参照する場合、アカウントIDは、リソースを他のAWSアカウントのリソースと区別します。
回答
AWSアカウントIDは必要に応じて共有できます。
ドキュメントに記載されているように、誰でもAWSを使用できる主なもののアカウント番号はARNを構築するためのものです。たとえば、AWS Lambda機能を保持するAWSアカウントがあり、明示的に許可を与えた別のアカウントの誰かがそれを操作したい場合、アカウントで使用します。 ARNの番号。
arn:aws:lambda:us-east-1:123456789012:function:ProcessKinesisRecords
繰り返しになりますが、これはアカウントに適用されている権限によって完全に制限されます。完全なARNを持っていたとしても、 AWSアカウントへのアクセス、私はそれで何もできません。
APIキーは、物事のリモートコントロールを許可するものであり、危険です。
コメント
- その通りです。 AWSでは、アカウントIDを含むARNを介して共有される、公開されているラムダレイヤーを共有できるようになりました。必要な場合を除いて、何も共有しない方が常に良いですが、アカウントIDをARNの形式で共有する必要があります。
回答
AWSアカウントIDを知っていても、それ自体は攻撃にさらされることはありませんが、攻撃者が他の危険な情報を簡単に入手できるようにすることができます。
Rhino Securityラボでは、ここのブログ投稿で、誤って構成されたIAMロールを介して潜在的な侵害ベクトルを示しています:
AWSアカウントIDはすべてのAWSアカウントを一意に識別し、想像以上に機密性が高くなります。IDを公開してもアカウントが直接侵害されることはありませんが、攻撃者はこの情報を他の攻撃に利用できます。AWSを維持するために合理的な努力を払う必要があります。アカウントIDは非公開ですが、実際には、意図せずに一般に公開されることがよくあります。
[…]
この投稿とそれに付随するスクリプトは、usiに対応しています。 AWSアカウントIDを使用して、既存のロールを識別します。この概念の拡張として、攻撃者はさらに一歩進んで、誤って構成されたIAMロールを引き受けて、不正アクセスを取得する可能性があります。
これは、この場合にのみ有効です。ユーザーが*または広すぎるリソースからの役割の引き受けを許可しているが、私の経験では、IAM権限は複雑で、適切に監査するのがかなり難しく、このような攻撃を検出するのは困難です。
このブルートフォーシング手法とスクリプトは、列挙に使用しているアカウントに大量の「iam:AssumeRole」CloudTrailログを生成します。ターゲットとするアカウントは、誤って設定されたロールを正常に引き受けるまでCloudTrailログに何も表示されないため、ターゲットアカウントでの列挙は完全にログフリーになります。
言い換えると、本質的にリスクではありませんが、アカウントの攻撃対象領域を大幅に減らして、IDを一般の人の目に触れないようにします。
コメント
- I 'その記事も読んだことがあります。この投稿は物事を少し装飾しているので、実際のIAMクレジットとAWSアカウントが必要でした。I'誰かがアカウントにログインしている場合は、'すでにゲームオーバータイプの状況になっていると言います。AWSアカウントIDの漏洩攻撃を引き起こしたものはほとんどありません。