Last updated
Vir meer inligting oor IAM-toegang:
AWS - IAM, Identity Center & SSO EnumAs jy 'n eksterne rekening (A) toelaat om 'n rol in jou rekening te benader, sal jy waarskynlik 0 sigbaarheid hê oor wie presies daardie eksterne rekening kan benader. Dit is 'n probleem, want as 'n ander eksterne rekening (B) die eksterne rekening (A) kan benader, is dit moontlik dat B ook jou rekening kan benader.
Daarom, wanneer jy 'n eksterne rekening toelaat om 'n rol in jou rekening te benader, is dit moontlik om 'n ExternalId te spesifiseer. Dit is 'n "geheime" string wat die eksterne rekening (A) moet spesifiseer om die rol in jou organisasie aan te neem. Aangesien die eksterne rekening B nie hierdie string sal ken nie, selfs al het hy toegang tot A, sal hy nie jou rol kan benader nie.
Let egter daarop dat hierdie ExternalId "geheim" nie 'n geheim is nie, enigiemand wat die IAM aanneemrolbeleid kan lees, sal dit kan sien. Maar solank die eksterne rekening A dit weet, maar die eksterne rekening B dit nie weet nie, voorkom dit dat B A misbruik om jou rol te benader.
Voorbeeld:
Vir 'n aanvaller om 'n verwarde adjunk te benut, sal hy op een of ander manier moet vind of die hoofde van die huidige rekening rolle in ander rekeninge kan naboots.
Hierdie beleid laat alle AWS toe om die rol aan te neem.
Hierdie beleid laat enige rekening toe om hul apigateway te konfigureer om hierdie Lambda te roep.
Indien 'n S3-emmer as 'n hoofakteur gegee word, omdat S3-emmers nie 'n Rekening-ID het nie, as jy jou emmer verwyder en die aanvaller dit in hul eie rekening skep, kan hulle dit misbruik.
'n Algemene manier om Verwarde Adjunkprobleme te vermy is die gebruik van 'n voorwaarde met AWS:SourceArn om die oorsprong ARN te kontroleer. Nietemin, sommige dienste mag dit nie ondersteun nie (soos CloudTrail volgens sommige bronne).
