AWS - Basic Information
Last updated
Last updated
Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Στο AWS υπάρχει ένας root account, ο οποίος είναι ο γονικός κάδος για όλους τους λογαριασμούς της οργάνωσής σας. Ωστόσο, δεν χρειάζεται να χρησιμοποιήσετε αυτόν τον λογαριασμό για να αναπτύξετε πόρους, μπορείτε να δημιουργήσετε άλλους λογαριασμούς για να διαχωρίσετε διαφορετικές υποδομές AWS μεταξύ τους.
Αυτό είναι πολύ ενδιαφέρον από την οπτική της ασφάλειας, καθώς ένας λογαριασμός δεν θα μπορεί να έχει πρόσβαση σε πόρους άλλου λογαριασμού (εκτός αν δημιουργηθούν συγκεκριμένες γέφυρες), έτσι μπορείτε να δημιουργήσετε όρια μεταξύ των αναπτύξεων.
Επομένως, υπάρχουν δύο τύποι λογαριασμών σε μια οργάνωση (μιλάμε για λογαριασμούς AWS και όχι λογαριασμούς χρηστών): ένας μόνο λογαριασμός που έχει οριστεί ως ο λογαριασμός διαχείρισης, και ένας ή περισσότεροι λογαριασμοί μελών.
Ο λογαριασμός διαχείρισης (ο root account) είναι ο λογαριασμός που χρησιμοποιείτε για να δημιουργήσετε την οργάνωση. Από τον λογαριασμό διαχείρισης της οργάνωσης, μπορείτε να κάνετε τα εξής:
Δημιουργία λογαριασμών στην οργάνωση
Πρόσκληση άλλων υπαρχόντων λογαριασμών στην οργάνωση
Αφαίρεση λογαριασμών από την οργάνωση
Διαχείριση προσκλήσεων
Εφαρμογή πολιτικών σε οντότητες (roots, OUs, ή λογαριασμούς) εντός της οργάνωσης
Ενεργοποίηση ενσωμάτωσης με υποστηριζόμενες υπηρεσίες AWS για να παρέχετε λειτουργικότητα υπηρεσιών σε όλους τους λογαριασμούς στην οργάνωση.
Είναι δυνατή η σύνδεση ως root χρήστης χρησιμοποιώντας το email και τον κωδικό πρόσβασης που χρησιμοποιήθηκαν για τη δημιουργία αυτού του root account/οργάνωσης.
Ο λογαριασμός διαχείρισης έχει τις ευθύνες ενός λογαριασμού πληρωμής και είναι υπεύθυνος για την πληρωμή όλων των χρεώσεων που προκύπτουν από τους λογαριασμούς μελών. Δεν μπορείτε να αλλάξετε τον λογαριασμό διαχείρισης μιας οργάνωσης.
Οι λογαριασμοί μελών αποτελούν όλους τους υπόλοιπους λογαριασμούς σε μια οργάνωση. Ένας λογαριασμός μπορεί να είναι μέλος μόνο μιας οργάνωσης τη φορά. Μπορείτε να επισυνάψετε μια πολιτική σε έναν λογαριασμό για να εφαρμόσετε ελέγχους μόνο σε αυτόν τον λογαριασμό.
Οι λογαριασμοί μελών πρέπει να χρησιμοποιούν μια έγκυρη διεύθυνση email και μπορούν να έχουν ένα όνομα, γενικά δεν θα μπορούν να διαχειρίζονται την τιμολόγηση (αλλά μπορεί να τους δοθεί πρόσβαση σε αυτή).
Οι λογαριασμοί μπορούν να ομαδοποιηθούν σε Οργανωτικές Μονάδες (OU). Με αυτόν τον τρόπο, μπορείτε να δημιουργήσετε πολιτικές για την Οργανωτική Μονάδα που θα εφαρμόζονται σε όλους τους παιδικούς λογαριασμούς. Σημειώστε ότι μια OU μπορεί να έχει άλλες OUs ως παιδιά.
Μια πολιτική ελέγχου υπηρεσιών (SCP) είναι μια πολιτική που καθορίζει τις υπηρεσίες και τις ενέργειες που μπορούν να χρησιμοποιούν οι χρήστες και οι ρόλοι στους λογαριασμούς που επηρεάζει η SCP. Οι SCP είναι παρόμοιες με τις πολιτικές δικαιωμάτων IAM εκτός από το ότι δεν παρέχουν κανένα δικαίωμα. Αντίθετα, οι SCP καθορίζουν τα μέγιστα δικαιώματα για έναν οργανισμό, μια οργανωτική μονάδα (OU) ή έναν λογαριασμό. Όταν συνδέετε μια SCP στη ρίζα του οργανισμού σας ή σε μια OU, η SCP περιορίζει τα δικαιώματα για τις οντότητες στους λογαριασμούς μελών.
Αυτή είναι η ΜΟΝΑΔΙΚΗ μέθοδος που ακόμα και ο χρήστης ρίζας μπορεί να σταματήσει από το να κάνει κάτι. Για παράδειγμα, μπορεί να χρησιμοποιηθεί για να σταματήσει τους χρήστες από το να απενεργοποιούν το CloudTrail ή να διαγράφουν αντίγραφα ασφαλείας. Ο μόνος τρόπος να παρακαμφθεί αυτό είναι να παραβιαστεί επίσης ο κύριος λογαριασμός που ρυθμίζει τις SCP (ο κύριος λογαριασμός δεν μπορεί να αποκλειστεί).
Σημειώστε ότι οι SCP περιορίζουν μόνο τους κύριους στον λογαριασμό, επομένως άλλοι λογαριασμοί δεν επηρεάζονται. Αυτό σημαίνει ότι η ύπαρξη μιας SCP που αρνείται το s3:GetObject δεν θα σταματήσει τους ανθρώπους από το να έχουν πρόσβαση σε ένα δημόσιο S3 bucket στον λογαριασμό σας.
Παραδείγματα SCP:
Αρνηθείτε τον λογαριασμό ρίζας εντελώς
Επιτρέψτε μόνο συγκεκριμένες περιοχές
Επιτρέψτε μόνο υπηρεσίες που έχουν λευκωθεί
Αρνηθείτε την απενεργοποίηση του GuardDuty, CloudTrail και S3 Public Block Access
Αρνηθείτε τους ρόλους ασφάλειας/αντίκτυπου από το να διαγραφούν ή
τροποποιηθούν.
Αρνηθείτε τη διαγραφή αντιγράφων ασφαλείας.
Αρνηθείτε τη δημιουργία χρηστών IAM και κλειδιών πρόσβασης
Βρείτε παραδείγματα JSON στο https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples.html
Το Όνομα Πόρου Amazon είναι το μοναδικό όνομα που έχει κάθε πόρος μέσα στο AWS, είναι διαρθρωμένο ως εξής:
Σημειώστε ότι υπάρχουν 4 διαμερίσματα στο AWS αλλά μόνο 3 τρόποι για να τα καλέσετε:
AWS Standard: aws
AWS China: aws-cn
AWS US public Internet (GovCloud): aws-us-gov
AWS Secret (US Classified): aws
Το IAM είναι η υπηρεσία που θα σας επιτρέψει να διαχειριστείτε Authentication, Authorization και Access Control μέσα στον λογαριασμό σας στο AWS.
Authentication - Διαδικασία καθορισμού μιας ταυτότητας και της επαλήθευσης αυτής της ταυτότητας. Αυτή η διαδικασία μπορεί να υποδιαιρεθεί σε: Αναγνώριση και επαλήθευση.
Authorization - Καθορίζει τι μπορεί να έχει πρόσβαση μια ταυτότητα μέσα σε ένα σύστημα μόλις έχει επαληθευτεί σε αυτό.
Access Control - Η μέθοδος και η διαδικασία με την οποία παρέχεται πρόσβαση σε έναν ασφαλή πόρο.
Το IAM μπορεί να οριστεί από την ικανότητά του να διαχειρίζεται, ελέγχει και κυβερνά τους μηχανισμούς αυθεντικοποίησης, εξουσιοδότησης και ελέγχου πρόσβασης ταυτοτήτων στους πόρους σας μέσα στον λογαριασμό σας στο AWS.
Όταν δημιουργείτε για πρώτη φορά έναν λογαριασμό Amazon Web Services (AWS), ξεκινάτε με μια μοναδική ταυτότητα σύνδεσης που έχει πλήρη πρόσβαση σε όλες τις υπηρεσίες και τους πόρους AWS στον λογαριασμό. Αυτός είναι ο root user του λογαριασμού AWS και αποκτάται με την είσοδο με τη διεύθυνση email και τον κωδικό πρόσβασης που χρησιμοποιήσατε για να δημιουργήσετε τον λογαριασμό.
Σημειώστε ότι ένας νέος admin user θα έχει λιγότερες άδειες από τον root user.
Από άποψη ασφάλειας, συνιστάται να δημιουργήσετε άλλους χρήστες και να αποφύγετε τη χρήση αυτού.
Ένας χρήστης IAM είναι μια οντότητα που δημιουργείτε στο AWS για να αντιπροσωπεύει το άτομο ή την εφαρμογή που το χρησιμοποιεί για να αλληλεπιδράσει με το AWS. Ένας χρήστης στο AWS αποτελείται από ένα όνομα και διαπιστευτήρια (κωδικός πρόσβασης και έως δύο κλειδιά πρόσβασης).
Όταν δημιουργείτε έναν χρήστη IAM, του παρέχετε άδειες κάνοντάς τον μέλος μιας ομάδας χρηστών που έχει κατάλληλες πολιτικές αδειών συνημμένες (συνιστάται), ή συνδέοντας απευθείας πολιτικές στον χρήστη.
Οι χρήστες μπορούν να έχουν ενεργοποιημένο MFA για σύνδεση μέσω της κονσόλας. Τα API tokens των χρηστών με ενεργοποιημένο MFA δεν προστατεύονται από το MFA. Εάν θέλετε να περιορίσετε την πρόσβαση των κλειδιών API ενός χρήστη χρησιμοποιώντας MFA, πρέπει να υποδείξετε στην πολιτική ότι για να εκτελούνται ορισμένες ενέργειες πρέπει να είναι παρόν το MFA (παράδειγμα εδώ).
Access Key ID: 20 τυχαίοι χαρακτήρες αλφαριθμητικούς κεφαλαίους όπως AKHDNAPO86BSHKDIRYT
Secret access key ID: 40 τυχαίοι χαρακτήρες κεφαλαίους και πεζούς: S836fh/J73yHSb64Ag3Rkdi/jaD6sPl6/antFtU (Δεν είναι δυνατή η ανάκτηση χαμένων κωδικών πρόσβασης).
Όποτε χρειάζεστε να αλλάξετε το Access Key, αυτή είναι η διαδικασία που πρέπει να ακολουθήσετε: &#xNAN;Create a new access key -> Apply the new key to system/application -> mark original one as inactive -> Test and verify new access key is working -> Delete old access key
Χρησιμοποιείται για να δημιουργήσει έναν επιπλέον παράγοντα για την αυθεντικοποίηση εκτός από τις υπάρχουσες μεθόδους σας, όπως ο κωδικός πρόσβασης, δημιουργώντας έτσι ένα επίπεδο πολλαπλής αυθεντικοποίησης. Μπορείτε να χρησιμοποιήσετε μια δωρεάν εικονική εφαρμογή ή μια φυσική συσκευή. Μπορείτε να χρησιμοποιήσετε εφαρμογές όπως το google authentication δωρεάν για να ενεργοποιήσετε ένα MFA στο AWS.
Πολιτικές με συνθήκες MFA μπορούν να προσαρτηθούν στα εξής:
Ένας χρήστης ή ομάδα IAM
Ένας πόρος όπως ένα Amazon S3 bucket, Amazon SQS queue ή Amazon SNS topic
Η πολιτική εμπιστοσύνης ενός IAM role που μπορεί να αναληφθεί από έναν χρήστη
Εάν θέλετε να έχετε πρόσβαση μέσω CLI σε έναν πόρο που ελέγχει για MFA, πρέπει να καλέσετε GetSessionToken. Αυτό θα σας δώσει ένα token με πληροφορίες σχετικά με το MFA.
Σημειώστε ότι AssumeRole credentials δεν περιέχουν αυτές τις πληροφορίες.
As αναφέρεται εδώ, υπάρχουν πολλές διαφορετικές περιπτώσεις όπου η MFA δεν μπορεί να χρησιμοποιηθεί.
Μια ομάδα χρηστών IAM είναι ένας τρόπος για να συνδέσετε πολιτικές σε πολλούς χρήστες ταυτόχρονα, γεγονός που μπορεί να διευκολύνει τη διαχείριση των δικαιωμάτων για αυτούς τους χρήστες. Οι ρόλοι και οι ομάδες δεν μπορούν να είναι μέρος μιας ομάδας.
Μπορείτε να συνδέσετε μια πολιτική βάσει ταυτότητας σε μια ομάδα χρηστών έτσι ώστε όλοι οι χρήστες στην ομάδα χρηστών να λαμβάνουν τα δικαιώματα της πολιτικής. Δεν μπορείτε να καθορίσετε μια ομάδα χρηστών ως Principal σε μια πολιτική (όπως μια πολιτική βάσει πόρων) επειδή οι ομάδες σχετίζονται με δικαιώματα, όχι με αυθεντικοποίηση, και οι principals είναι αυθεντικοποιημένες οντότητες IAM.
Ακολουθούν μερικά σημαντικά χαρακτηριστικά των ομάδων χρηστών:
Μια ομάδα χρηστών μπορεί να περιέχει πολλούς χρήστες, και ένας χρήστης μπορεί να ανήκει σε πολλές ομάδες.
Οι ομάδες χρηστών δεν μπορούν να είναι φωλιασμένες; μπορούν να περιέχουν μόνο χρήστες, όχι άλλες ομάδες χρηστών.
Δεν υπάρχει προεπιλεγμένη ομάδα χρηστών που να περιλαμβάνει αυτόματα όλους τους χρήστες στον λογαριασμό AWS. Εάν θέλετε να έχετε μια ομάδα χρηστών όπως αυτή, πρέπει να τη δημιουργήσετε και να αναθέσετε κάθε νέο χρήστη σε αυτήν.
Ο αριθμός και το μέγεθος των πόρων IAM σε έναν λογαριασμό AWS, όπως ο αριθμός των ομάδων και ο αριθμός των ομάδων στις οποίες μπορεί να είναι μέλος ένας χρήστης, είναι περιορισμένα. Για περισσότερες πληροφορίες, δείτε Ποσοστά IAM και AWS STS.
Ένας ρόλος IAM είναι πολύ παρόμοιος με έναν χρήστη, καθώς είναι μια ταυτότητα με πολιτικές δικαιωμάτων που καθορίζουν τι μπορεί και δεν μπορεί να κάνει στο AWS. Ωστόσο, ένας ρόλος δεν έχει καμία διαπιστευτήρια (κωδικό πρόσβασης ή κλειδιά πρόσβασης) που να σχετίζονται με αυτόν. Αντί να είναι μοναδικά συνδεδεμένος με ένα άτομο, ένας ρόλος προορίζεται να είναι αναλαμβανόμενος από οποιονδήποτε τον χρειάζεται (και έχει αρκετά δικαιώματα). Ένας χρήστης IAM μπορεί να αναλάβει έναν ρόλο για να αποκτήσει προσωρινά διαφορετικά δικαιώματα για μια συγκεκριμένη εργασία. Ένας ρόλος μπορεί να ανατεθεί σε έναν ομοσπονδωμένο χρήστη που συνδέεται χρησιμοποιώντας έναν εξωτερικό πάροχο ταυτότητας αντί για IAM.
Ένας ρόλος IAM αποτελείται από δύο τύπους πολιτικών: Μια πολιτική εμπιστοσύνης, η οποία δεν μπορεί να είναι κενή, καθορίζοντας ποιος μπορεί να αναλάβει τον ρόλο, και μια πολιτική δικαιωμάτων, η οποία δεν μπορεί να είναι κενή, καθορίζοντας τι μπορεί να έχει πρόσβαση.
Η Υπηρεσία Ασφαλών Διακριτικών AWS (STS) είναι μια διαδικτυακή υπηρεσία που διευκολύνει την έκδοση προσωρινών, περιορισμένων διαπιστευτηρίων. Είναι ειδικά προσαρμοσμένη για:
Τα προσωρινά διαπιστευτήρια χρησιμοποιούνται κυρίως με ρόλους IAM, αλλά υπάρχουν και άλλες χρήσεις. Μπορείτε να ζητήσετε προσωρινά διαπιστευτήρια που έχουν ένα πιο περιορισμένο σύνολο δικαιωμάτων από τον τυπικό χρήστη IAM σας. Αυτό αποτρέπει να εκτελείτε κατά λάθος εργασίες που δεν επιτρέπονται από τα πιο περιορισμένα διαπιστευτήρια. Ένα πλεονέκτημα των προσωρινών διαπιστευτηρίων είναι ότι λήγουν αυτόματα μετά από μια καθορισμένη χρονική περίοδο. Έχετε έλεγχο πάνω στη διάρκεια που είναι έγκυρα τα διαπιστευτήρια.
Χρησιμοποιούνται για την ανάθεση δικαιωμάτων. Υπάρχουν 2 τύποι:
Πολιτικές διαχείρισης AWS (προρυθμισμένες από την AWS)
Πολιτικές Διαχείρισης Πελατών: Ρυθμισμένες από εσάς. Μπορείτε να δημιουργήσετε πολιτικές βασισμένες σε πολιτικές διαχείρισης AWS (τροποποιώντας μία από αυτές και δημιουργώντας τη δική σας), χρησιμοποιώντας τον γεννήτρια πολιτικών (μια GUI προβολή που σας βοηθά να παραχωρείτε και να αρνείστε δικαιώματα) ή γράφοντας τη δική σας.
Κατά προεπιλογή η πρόσβαση είναι αρνητική, η πρόσβαση θα παραχωρηθεί εάν έχει καθοριστεί ρητά ένας ρόλος. Εάν υπάρχει μία μόνο "Άρνηση", θα υπερισχύσει της "Άδειας", εκτός από αιτήματα που χρησιμοποιούν τα διαπιστευτήρια ασφαλείας του ριζικού λογαριασμού AWS (τα οποία επιτρέπονται από προεπιλογή).
The παγκόσμια πεδία που μπορούν να χρησιμοποιηθούν για συνθήκες σε οποιαδήποτε υπηρεσία τεκμηριώνονται εδώ. Τα συγκεκριμένα πεδία που μπορούν να χρησιμοποιηθούν για συνθήκες ανά υπηρεσία τεκμηριώνονται εδώ.
Αυτός ο τύπος πολιτικών είναι άμεσα ανατεθειμένος σε έναν χρήστη, ομάδα ή ρόλο. Έτσι, δεν εμφανίζονται στη λίστα Πολιτικών καθώς οποιοσδήποτε άλλος μπορεί να τις χρησιμοποιήσει. Οι inline πολιτικές είναι χρήσιμες αν θέλετε να διατηρήσετε μια αυστηρή σχέση ένα προς ένα μεταξύ μιας πολιτικής και της ταυτότητας στην οποία εφαρμόζεται. Για παράδειγμα, θέλετε να είστε σίγουροι ότι οι άδειες σε μια πολιτική δεν ανατίθενται κατά λάθος σε μια ταυτότητα εκτός από αυτήν για την οποία προορίζονται. Όταν χρησιμοποιείτε μια inline πολιτική, οι άδειες στην πολιτική δεν μπορούν να προσαρτηθούν κατά λάθος στη λάθος ταυτότητα. Επιπλέον, όταν χρησιμοποιείτε την κονσόλα διαχείρισης AWS για να διαγράψετε αυτήν την ταυτότητα, οι πολιτικές που ενσωματώνονται στην ταυτότητα διαγράφονται επίσης. Αυτό συμβαίνει επειδή είναι μέρος της κύριας οντότητας.
Αυτές είναι πολιτικές που μπορούν να οριστούν σε πόρους. Όχι όλοι οι πόροι του AWS τις υποστηρίζουν.
Εάν μια κύρια οντότητα δεν έχει ρητή άρνηση γι' αυτές, και μια πολιτική πόρου τους παραχωρεί πρόσβαση, τότε επιτρέπεται.
Οι όρια IAM μπορούν να χρησιμοποιηθούν για να περιορίσουν τις άδειες που πρέπει να έχει πρόσβαση ένας χρήστης ή ρόλος. Με αυτόν τον τρόπο, ακόμη και αν μια διαφορετική σειρά αδειών παραχωρείται στον χρήστη από μια διαφορετική πολιτική, η λειτουργία θα αποτύχει αν προσπαθήσει να τις χρησιμοποιήσει.
Ένα όριο είναι απλώς μια πολιτική που συνδέεται με έναν χρήστη και υποδεικνύει το μέγιστο επίπεδο αδειών που μπορεί να έχει ο χρήστης ή ο ρόλος. Έτσι, ακόμη και αν ο χρήστης έχει πρόσβαση Διαχειριστή, αν το όριο υποδεικνύει ότι μπορεί μόνο να διαβάσει S· buckets, αυτό είναι το μέγιστο που μπορεί να κάνει.
Αυτό, SCPs και η τήρηση της αρχής της ελάχιστης προνομίας είναι οι τρόποι ελέγχου ώστε οι χρήστες να μην έχουν περισσότερες άδειες από αυτές που χρειάζονται.
Μια πολιτική συνεδρίας είναι μια πολιτική που ορίζεται όταν αναλαμβάνεται ένας ρόλος με κάποιο τρόπο. Αυτό θα είναι σαν ένα όριο IAM για αυτή τη συνεδρία: Αυτό σημαίνει ότι η πολιτική συνεδρίας δεν παραχωρεί άδειες αλλά περιορίζει αυτές στις αναφερόμενες στην πολιτική (με τις μέγιστες άδειες να είναι αυτές που έχει ο ρόλος).
Αυτό είναι χρήσιμο για μέτρα ασφαλείας: Όταν ένας διαχειριστής πρόκειται να αναλάβει έναν πολύ προνομιακό ρόλο, θα μπορούσε να περιορίσει την άδεια μόνο στις αναφερόμενες στην πολιτική συνεδρίας σε περίπτωση που η συνεδρία παραβιαστεί.
Σημειώστε ότι από προεπιλογή το AWS μπορεί να προσθέσει πολιτικές συνεδρίας σε συνεδρίες που πρόκειται να δημιουργηθούν λόγω τρίτων λόγων. Για παράδειγμα, σε μη αυθεντικοποιημένους ρόλους που υποτίθεται από το cognito από προεπιλογή (χρησιμοποιώντας ενισχυμένη αυθεντικοποίηση), το AWS θα δημιουργήσει διαπιστευτήρια συνεδρίας με πολιτική συνεδρίας που περιορίζει τις υπηρεσίες που μπορεί να έχει πρόσβαση η συνεδρία στην παρακάτω λίστα.
Επομένως, αν σε κάποιο σημείο αντιμετωπίσετε το σφάλμα "... επειδή καμία πολιτική συνεδρίας δεν επιτρέπει το ...", και ο ρόλος έχει πρόσβαση για να εκτελέσει την ενέργεια, είναι επειδή υπάρχει μια πολιτική συνεδρίας που το εμποδίζει.
Η ομοσπονδία ταυτότητας επιτρέπει στους χρήστες από παρόχους ταυτότητας που είναι εξωτερικοί στο AWS να έχουν ασφαλή πρόσβαση σε πόρους του AWS χωρίς να χρειάζεται να παρέχουν διαπιστευτήρια χρήστη AWS από έγκυρο λογαριασμό IAM. Ένα παράδειγμα παρόχου ταυτότητας μπορεί να είναι το δικό σας εταιρικό Microsoft Active Directory (μέσω SAML) ή υπηρεσίες OpenID (όπως Google). Η ομοσπονδία πρόσβασης θα επιτρέψει στους χρήστες εντός της να έχουν πρόσβαση στο AWS.
Για να ρυθμίσετε αυτήν την εμπιστοσύνη, θα δημιουργηθεί ένας Πάροχος Ταυτότητας IAM (SAML ή OAuth) που θα εμπιστεύεται την άλλη πλατφόρμα. Στη συνέχεια, τουλάχιστον ένας ρόλος IAM ανατίθεται (εμπιστευόμενος) στον Πάροχο Ταυτότητας. Εάν ένας χρήστης από την εμπιστευμένη πλατφόρμα αποκτήσει πρόσβαση στο AWS, θα έχει πρόσβαση ως ο αναφερόμενος ρόλος.
Ωστόσο, συνήθως θα θέλετε να δώσετε έναν διαφορετικό ρόλο ανάλογα με την ομάδα του χρήστη στην τρίτη πλατφόρμα. Στη συνέχεια, αρκετοί ρόλοι IAM μπορούν να εμπιστεύονται τον τρίτο Πάροχο Ταυτότητας και η τρίτη πλατφόρμα θα είναι αυτή που θα επιτρέπει στους χρήστες να υποθέτουν έναν ρόλο ή τον άλλο.
Το AWS IAM Identity Center (διάδοχος του AWS Single Sign-On) επεκτείνει τις δυνατότητες της Διαχείρισης Ταυτότητας και Πρόσβασης AWS (IAM) για να παρέχει ένα κεντρικό σημείο που συγκεντρώνει τη διαχείριση χρηστών και την πρόσβασή τους σε λογαριασμούς AWS και εφαρμογές cloud.
Ο τομέας σύνδεσης θα είναι κάτι σαν <user_input>.awsapps.com.
Για να συνδεθούν οι χρήστες, υπάρχουν 3 πηγές ταυτότητας που μπορούν να χρησιμοποιηθούν:
Κατάλογος Κέντρου Ταυτότητας: Κανονικοί χρήστες AWS
Active Directory: Υποστηρίζει διάφορους συνδέσμους
Εξωτερικός Πάροχος Ταυτότητας: Όλοι οι χρήστες και οι ομάδες προέρχονται από έναν εξωτερικό Πάροχο Ταυτότητας (IdP)
Στην απλούστερη περίπτωση του καταλόγου Κέντρου Ταυτότητας, το Κέντρο Ταυτότητας θα έχει μια λίστα χρηστών & ομάδων και θα μπορεί να αναθέτει πολιτικές σε αυτούς για οποιονδήποτε από τους λογαριασμούς της οργάνωσης.
Για να δώσετε πρόσβαση σε έναν χρήστη/ομάδα του Κέντρου Ταυτότητας σε έναν λογαριασμό, θα δημιουργηθεί ένας Πάροχος Ταυτότητας SAML που εμπιστεύεται το Κέντρο Ταυτότητας, και θα δημιουργηθεί ένας ρόλος που εμπιστεύεται τον Πάροχο Ταυτότητας με τις καθορισμένες πολιτικές στον προορισμό λογαριασμό.
Είναι δυνατόν να δώσετε δικαιώματα μέσω ενσωματωμένων πολιτικών σε ρόλους που δημιουργούνται μέσω του IAM Identity Center. Οι ρόλοι που δημιουργούνται στους λογαριασμούς που δίνονται ενσωματωμένες πολιτικές στο AWS Identity Center θα έχουν αυτά τα δικαιώματα σε μια ενσωματωμένη πολιτική που ονομάζεται AwsSSOInlinePolicy.
Επομένως, ακόμη και αν δείτε 2 ρόλους με μια ενσωματωμένη πολιτική που ονομάζεται AwsSSOInlinePolicy, δεν σημαίνει ότι έχει τα ίδια δικαιώματα.
Ένας χρήστης (εμπιστευόμενος) μπορεί να δημιουργήσει έναν Διασυνοριακό Ρόλο με ορισμένες πολιτικές και στη συνέχεια, να επιτρέψει σε έναν άλλο χρήστη (εμπιστευμένος) να έχει πρόσβαση στον λογαριασμό του αλλά μόνο έχοντας την πρόσβαση που υποδεικνύεται στις νέες πολιτικές ρόλου. Για να το δημιουργήσετε αυτό, απλώς δημιουργήστε έναν νέο Ρόλο και επιλέξτε Διασυνοριακό Ρόλο. Οι ρόλοι για Διασυνοριακή Πρόσβαση προσφέρουν δύο επιλογές. Παροχή πρόσβασης μεταξύ λογαριασμών AWS που κατέχετε και παροχή πρόσβασης μεταξύ ενός λογαριασμού που κατέχετε και ενός τρίτου λογαριασμού AWS. Συνιστάται να καθορίσετε τον χρήστη που είναι εμπιστευμένος και να μην βάλετε κάτι γενικό γιατί αν όχι, άλλοι αυθεντικοποιημένοι χρήστες όπως οι ομοσπονδικοί χρήστες θα μπορούν επίσης να εκμεταλλευτούν αυτήν την εμπιστοσύνη.
Δεν υποστηρίζεται:
Σχέσεις Εμπιστοσύνης
Κέντρο Διαχείρισης AD
Πλήρης υποστήριξη PS API
Κάδος Ανακύκλωσης AD
Ομαδικοί Διαχειριζόμενοι Λογαριασμοί Υπηρεσιών
Επεκτάσεις Σχήματος
Καμία Άμεση πρόσβαση στο OS ή σε Εγκαταστάσεις
Η εφαρμογή χρησιμοποιεί το AssumeRoleWithWebIdentity για να δημιουργήσει προσωρινά διαπιστευτήρια. Ωστόσο, αυτό δεν παρέχει πρόσβαση στην κονσόλα AWS, μόνο πρόσβαση σε πόρους εντός του AWS.
Μπορείτε να ρυθμίσετε μια πολιτική κωδικού πρόσβασης με επιλογές όπως ελάχιστο μήκος και απαιτήσεις κωδικού πρόσβασης.
Μπορείτε να κατεβάσετε την "Έκθεση Διαπιστευτηρίων" με πληροφορίες σχετικά με τα τρέχοντα διαπιστευτήρια (όπως χρόνος δημιουργίας χρήστη, αν είναι ενεργοποιημένος ο κωδικός πρόσβασης...). Μπορείτε να δημιουργήσετε μια έκθεση διαπιστευτηρίων όσο συχνά κάθε τέσσερις ώρες.
Η Διαχείριση Ταυτότητας και Πρόσβασης AWS (IAM) παρέχει λεπτομερή έλεγχο πρόσβασης σε όλο το AWS. Με το IAM, μπορείτε να καθορίσετε ποιος μπορεί να έχει πρόσβαση σε ποιες υπηρεσίες και πόρους, και υπό ποιες συνθήκες. Με τις πολιτικές IAM, διαχειρίζεστε τα δικαιώματα στην εργατική σας δύναμη και τα συστήματα για να διασφαλίσετε τις ελάχιστες δικαιοδοσίες.
Στην αυτή τη σελίδα μπορείτε να βρείτε τα προθέματα ID IAM των κλειδιών ανάλογα με τη φύση τους:
ABIA
ACCA
Διαπιστευτήριο συγκεκριμένου πλαισίου
AGPA
Ομάδα χρηστών
AIDA
Χρήστης IAM
AIPA
Προφίλ στιγμής Amazon EC2
AKIA
Κλειδί πρόσβασης
ANPA
Διαχειριζόμενη πολιτική
ANVA
Έκδοση σε μια διαχειριζόμενη πολιτική
APKA
Δημόσιο κλειδί
AROA
Ρόλος
ASCA
Πιστοποιητικό
ASIA
Τα παρακάτω προνόμια παρέχουν διάφορες αναγνώσεις μεταδεδομένων:
arn:aws:iam::aws:policy/SecurityAudit
arn:aws:iam::aws:policy/job-function/ViewOnlyAccess
codebuild:ListProjects
config:Describe*
cloudformation:ListStacks
logs:DescribeMetricFilters
directconnect:DescribeConnections
dynamodb:ListTables
Για να αυθεντικοποιηθεί ένας κανονικός χρήστης στο AWS μέσω CLI, πρέπει να έχετε τοπικά διαπιστευτήρια. Από προεπιλογή μπορείτε να τα ρυθμίσετε χειροκίνητα στο ~/.aws/credentials ή τρέχοντας aws configure.
Σε αυτό το αρχείο μπορείτε να έχετε περισσότερα από ένα προφίλ, αν δεν καθοριστεί προφίλ χρησιμοποιώντας το aws cli, θα χρησιμοποιηθεί αυτό που ονομάζεται [default] σε αυτό το αρχείο.
Παράδειγμα αρχείου διαπιστευτηρίων με περισσότερα από 1 προφίλ:
Αν χρειάζεστε να έχετε πρόσβαση σε διαφορετικούς λογαριασμούς AWS και το προφίλ σας έχει δοθεί πρόσβαση για να αναλάβετε έναν ρόλο μέσα σε αυτούς τους λογαριασμούς, δεν χρειάζεται να καλείτε χειροκίνητα το STS κάθε φορά (aws sts assume-role --role-arn <role-arn> --role-session-name sessname) και να ρυθμίζετε τα διαπιστευτήρια.
Μπορείτε να χρησιμοποιήσετε το αρχείο ~/.aws/config για να υποδείξετε ποιους ρόλους να αναλάβετε, και στη συνέχεια να χρησιμοποιήσετε την παράμετρο --profile όπως συνήθως (η assume-role θα εκτελείται με διαφανή τρόπο για τον χρήστη).
Ένα παράδειγμα αρχείου ρυθμίσεων:
Με αυτό το αρχείο ρύθμισης μπορείτε στη συνέχεια να χρησιμοποιήσετε το aws cli όπως:
Αν ψάχνετε για κάτι παρόμοιο με αυτό αλλά για τον πλοηγό, μπορείτε να ελέγξετε την επέκταση AWS Extend Switch Roles.
χρησιμοποιούν αυτό το πρόθεμα, αλλά είναι μοναδικά μόνο σε συνδυασμό με το μυστικό κλειδί πρόσβασης και το διακριτικό συνεδρίας.
Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
