AWS 계정 ID 비밀 유지

필요한 경우 AWS 계정 ID를 공유 할 수 있습니다.

문서에 나와있는 것처럼 누구나 AWS를 사용할 수있는 주요 사항은 의 계정 번호는 ARN을 구성하는 것입니다. 예를 들어, AWS Lambda 함수를 보유한 AWS 계정이 있고 명시 적으로 권한을 부여한 다른 계정의 누군가가이를 조작하려는 경우 계정별로 사용합니다. ARN의 번호입니다.

arn:aws:lambda:us-east-1:123456789012:function:ProcessKinesisRecords 

다시 말씀 드리지만 이는 계정에 적용된 권한에 의해 완전히 제한됩니다. 전체 ARN이 있더라도 AWS 계정에 액세스하면 아무것도 할 수 없습니다.

API 키는 원격 제어 권한을 부여하는 것으로 위험합니다.

댓글

• 정답입니다. 이제 AWS에서는 계정 ID가 포함 된 ARN을 통해 공유되는 공개적으로 사용 가능한 람다 계층을 공유 할 수 있습니다. 꼭 필요한 경우가 아니면 아무것도 공유하지 않는 것이 좋습니다. ARN 형식으로 계정 ID를 공유하면됩니다.

AWS 계정 ID를 아는 것 자체가 공격에 노출되지는 않지만 공격자가 다른 침해 정보를 더 쉽게 얻을 수 있습니다.

Rhino Security 실습에서는 다음 블로그 게시물에서 잘못 구성된 IAM 역할 을 통해 잠재적 인 손상 벡터를 보여줍니다.

AWS 계정 ID는 모든 AWS 계정을 고유하게 식별하며 생각보다 더 민감합니다. ID를 공개해도 계정이 손상 될 수있는 것은 아니지만 공격자는이 정보를 다른 공격에 활용할 수 있습니다. AWS를 유지하기 위해 합리적인 노력을 기울여야합니다. 계정 ID는 비공개이지만 실제로는 종종 의도하지 않게 대중에게 노출됩니다.

[…]

이 게시물과 함께 공개 된 스크립트는 usi AWS 계정 ID를 사용하여 기존 역할을 식별합니다. 이 개념의 확장으로 공격자는 한 단계 더 나아가 잘못 구성된 IAM 역할을 맡아 무단 액세스를 얻을 수 있습니다.

이는 경우에만 효과적입니다. 사용자가 * 또는 너무 넓은 범위의 리소스에서 역할 가정을 허용하지만 제 경험상 IAM 권한은 복잡하고 감사하기가 합리적으로 어렵고 이와 같은 공격은 감지하기 어렵습니다.

이 무차별 대입 기법 및 스크립트는 열거에 사용중인 계정에 많은 양의 “iam : AssumeRole”CloudTrail 로그를 생성합니다. 대상 계정은 잘못 구성된 역할을 성공적으로 맡을 때까지 CloudTrail 로그에 아무것도 표시되지 않으므로 대상 계정에서 열거가 완전히 로그가 없습니다.

즉, 본질적으로 위험하지는 않지만 계정의 공격 표면을 의미있게 줄여서 ID를 대중의 눈에 띄지 않게합니다.

댓글

• 저 '도 기사를 읽었습니다. 그 게시물은 약간의 장식을 띠고 있으며 실제 IAM 신용 + AWS 계정이 필요했습니다. I ' 누군가 계정에 대한 로그인이있는 경우 ' 이미 상황에 따라 이미 게임을 시작하고 있다고 말합니다. AWS 계정 ID 유출 공격을 촉발시킨 것은 아닙니다.