Utrzymywanie w tajemnicy identyfikatora konta AWS

Czy mój identyfikator konta AWS musi pozostać tajny? Czy można cokolwiek zrobić używając tylko identyfikatora konta AWS?

Z dokumentacji AWS :

Identyfikator konta AWS to 12-cyfrowy numer, taki jak 123456789012, którego używasz do tworzenia nazw zasobów Amazon (ARN). Kiedy odwołujesz się do zasobów, takich jak użytkownik IAM lub skarbiec Amazon Glacier, identyfikator konta odróżnia Twoje zasoby od zasobów na innych kontach AWS.

Odpowiedź

Identyfikator konta AWS można w razie potrzeby udostępnić.

Jak mówi dokumentacja, najważniejsza rzecz, jaką każdy może używać z Twojego AWS Numer konta dla służy do tworzenia ARN. Na przykład, gdybym miał konto AWS, które pełniło funkcję AWS Lambda, a ktoś na innym koncie, któremu wyraźnie udzieliłem pozwolenia, chciałby nim manipulować, użyłby go przez konto numer w ARN.

arn:aws:lambda:us-east-1:123456789012:function:ProcessKinesisRecords 

Znowu jest to całkowicie ograniczone przez uprawnienia zastosowane na Twoim koncie. Nawet gdybym miał pełny ARN, chyba że podasz moje Dostęp do konta AWS, nie będę mógł z nim nic zrobić.

Klucze API to rzeczy, które zapewniają zdalne sterowanie rzeczami i są niebezpieczne.

Komentarze

  • Zgadza się. AWS umożliwia teraz udostępnianie publicznie dostępnych warstw lambda, które są udostępniane za pośrednictwem ARN, które zawierają identyfikator Twojego konta. Chociaż zawsze lepiej nie udostępniać niczego, chyba że musisz – coś, co musisz po prostu udostępnić identyfikator swojego konta w postaci ARN.

Odpowiedź

Znajomość identyfikatora konta AWS sama w sobie nie naraża Cię na żaden atak, ale może ułatwić atakującemu uzyskanie innych zagrażających informacji.

Rhino Security Laboratoria demonstrują potencjalny wektor zagrożenia poprzez źle skonfigurowane role IAM w poście na blogu tutaj :

Identyfikatory kont AWS jednoznacznie identyfikują każde konto AWS i są bardziej wrażliwe, niż mogłoby się wydawać. Chociaż ujawnienie identyfikatora nie naraża bezpośrednio konta na włamanie, osoba atakująca może wykorzystać te informacje w innych atakach. Należy dołożyć rozsądnych starań, aby zachować AWS identyfikatory kont są prywatne, ale w praktyce często są ujawniane publicznie.

[…]

Ten post – i towarzyszący mu skrypt, który wydaliśmy – dotyczą ng ID konta AWS w celu identyfikacji istniejących ról. Jako rozszerzenie tej koncepcji, atakujący mogą pójść o krok dalej i przyjąć źle skonfigurowane role uprawnień, aby uzyskać nieautoryzowany dostęp.

Będzie to skuteczne tylko w przypadku gdzie użytkownik zezwala na przejmowanie roli z * lub ze zbyt szerokiego zakresu zasobów, ale z moich doświadczeń wynika, że uprawnienia uprawnień są złożone i dość trudne do przeprowadzenia dobrego audytu, a ataki takie jak ten są trudne do wykrycia:

Ta brutalna technika i skrypt wygeneruje dużą liczbę logów CloudTrail „iam: AssumeRole” na koncie, którego używasz do wyliczania. Każde docelowe konto nie będzie widzieć niczego w swoich dziennikach CloudTrail, dopóki pomyślnie nie przyjmiesz źle skonfigurowanej roli, co oznacza, że wyliczanie na koncie docelowym jest całkowicie pozbawione logów.

Innymi słowy – nie jest to nieodłącznie związane z ryzykiem, ale znacząco zmniejsza powierzchnię ataku Twojego konta, tak aby identyfikator nie był widoczny publicznie.

Komentarze

  • Ja ' też przeczytałem ten artykuł, ten post trochę upiększa, potrzebowali prawdziwego kredytu IAM + konta AWS. I ' d powiedz, że jeśli ktoś ma login do konta, ' już wchodzi do gry ze względu na rodzaj sytuacji. Wyciek identyfikatora konta AWS nie jest tym, co przyspieszyło atak.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *