AWS - Basic Information

Soutenir HackTricks

Hiérarchie de l'organisation

Comptes

Dans AWS, il y a un compte root, qui est le conteneur parent pour tous les comptes de votre organisation. Cependant, vous n'avez pas besoin d'utiliser ce compte pour déployer des ressources, vous pouvez créer d'autres comptes pour séparer différentes infrastructures AWS entre elles.

C'est très intéressant d'un point de vue sécurité, car un compte ne pourra pas accéder aux ressources d'un autre compte (sauf si des ponts sont spécifiquement créés), de cette manière vous pouvez créer des limites entre les déploiements.

Par conséquent, il y a deux types de comptes dans une organisation (nous parlons de comptes AWS et non de comptes utilisateurs) : un seul compte désigné comme le compte de gestion, et un ou plusieurs comptes membres.

  • Le compte de gestion (le compte root) est le compte que vous utilisez pour créer l'organisation. À partir du compte de gestion de l'organisation, vous pouvez faire ce qui suit :

  • Créer des comptes dans l'organisation

  • Inviter d'autres comptes existants à l'organisation

  • Supprimer des comptes de l'organisation

  • Gérer les invitations

  • Appliquer des politiques aux entités (roots, OUs ou comptes) au sein de l'organisation

  • Activer l'intégration avec les services AWS pris en charge pour fournir des fonctionnalités de service à tous les comptes de l'organisation.

  • Il est possible de se connecter en tant qu'utilisateur root en utilisant l'email et le mot de passe utilisés pour créer ce compte root/organisation.

Le compte de gestion a les responsabilités d'un compte payeur et est responsable du paiement de tous les frais accumulés par les comptes membres. Vous ne pouvez pas changer le compte de gestion d'une organisation.

  • Les comptes membres constituent tous les autres comptes d'une organisation. Un compte ne peut être membre que d'une seule organisation à la fois. Vous pouvez attacher une politique à un compte pour appliquer des contrôles uniquement à ce compte.

  • Les comptes membres doivent utiliser une adresse email valide et peuvent avoir un nom, en général ils ne pourront pas gérer la facturation (mais ils pourraient y avoir accès).

aws organizations create-account --account-name testingaccount --email testingaccount@lalala1233fr.com

Unités d'Organisation

Les comptes peuvent être regroupés en Unités d'Organisation (OU). De cette manière, vous pouvez créer des politiques pour l'Unité d'Organisation qui vont être appliquées à tous les comptes enfants. Notez qu'une OU peut avoir d'autres OUs comme enfants.

# You can get the root id from aws organizations list-roots
aws organizations create-organizational-unit --parent-id r-lalala --name TestOU

Service Control Policy (SCP)

Une service control policy (SCP) est une politique qui spécifie les services et les actions que les utilisateurs et les rôles peuvent utiliser dans les comptes que la SCP affecte. Les SCP sont similaires aux politiques de permissions IAM sauf qu'elles ne donnent aucune permission. Au lieu de cela, les SCP spécifient les permissions maximales pour une organisation, une unité organisationnelle (OU) ou un compte. Lorsque vous attachez une SCP à la racine de votre organisation ou à une OU, la SCP limite les permissions pour les entités dans les comptes membres.

C'est le SEUL moyen par lequel même l'utilisateur root peut être arrêté de faire quelque chose. Par exemple, cela pourrait être utilisé pour empêcher les utilisateurs de désactiver CloudTrail ou de supprimer des sauvegardes. Le seul moyen de contourner cela est de compromettre également le compte principal qui configure les SCP (le compte principal ne peut pas être bloqué).

Notez que les SCP ne restreignent que les principaux dans le compte, donc d'autres comptes ne sont pas affectés. Cela signifie qu'avoir une SCP qui refuse s3:GetObject n'arrêtera pas les gens d'accéder à un bucket S3 public dans votre compte.

Exemples de SCP :

  • Refuser complètement le compte root

  • Autoriser uniquement des régions spécifiques

  • Autoriser uniquement des services sur liste blanche

  • Refuser que GuardDuty, CloudTrail et S3 Public Block Access soient désactivés

  • Refuser que les rôles de sécurité/réponse aux incidents soient supprimés ou modifiés.

  • Refuser que les sauvegardes soient supprimées.

  • Refuser de créer des utilisateurs IAM et des clés d'accès

Trouvez des exemples JSON dans https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples.html

ARN

Amazon Resource Name est le nom unique que chaque ressource à l'intérieur d'AWS possède, il est composé comme ceci :

arn:partition:service:region:account-id:resource-type/resource-id
arn:aws:elasticbeanstalk:us-west-1:123456789098:environment/App/Env

Notez qu'il y a 4 partitions dans AWS mais seulement 3 façons de les appeler :

  • AWS Standard : aws

  • AWS China : aws-cn

  • AWS US public Internet (GovCloud) : aws-us-gov

  • AWS Secret (US Classified) : aws

IAM - Gestion des identités et des accès

IAM est le service qui vous permettra de gérer l'authentification, l'autorisation et le contrôle d'accès au sein de votre compte AWS.

  • Authentification - Processus de définition d'une identité et de vérification de cette identité. Ce processus peut être subdivisé en : Identification et vérification.

  • Autorisation - Détermine ce qu'une identité peut accéder au sein d'un système une fois qu'elle a été authentifiée.

  • Contrôle d'accès - La méthode et le processus par lesquels l'accès est accordé à une ressource sécurisée.

IAM peut être défini par sa capacité à gérer, contrôler et gouverner les mécanismes d'authentification, d'autorisation et de contrôle d'accès des identités à vos ressources au sein de votre compte AWS.

Lorsque vous créez un compte Amazon Web Services (AWS) pour la première fois, vous commencez avec une identité de connexion unique qui a un accès complet à tous les services et ressources AWS dans le compte. C'est l'utilisateur root du compte AWS et il est accessible en se connectant avec l'adresse e-mail et le mot de passe que vous avez utilisés pour créer le compte.

Notez qu'un nouvel utilisateur admin aura moins de permissions que l'utilisateur root.

D'un point de vue sécurité, il est recommandé de créer d'autres utilisateurs et d'éviter d'utiliser celui-ci.

Un utilisateur IAM est une entité que vous créez dans AWS pour représenter la personne ou l'application qui l'utilise pour interagir avec AWS. Un utilisateur dans AWS se compose d'un nom et de références (mot de passe et jusqu'à deux clés d'accès).

Lorsque vous créez un utilisateur IAM, vous lui accordez des permissions en le rendant membre d'un groupe d'utilisateurs qui a des politiques de permission appropriées attachées (recommandé), ou en attachant directement des politiques à l'utilisateur.

Les utilisateurs peuvent avoir MFA activé pour se connecter via la console. Les jetons API des utilisateurs avec MFA activé ne sont pas protégés par MFA. Si vous souhaitez restreindre l'accès des clés API d'un utilisateur en utilisant MFA, vous devez indiquer dans la politique qu'en vue d'effectuer certaines actions, MFA doit être présent (exemple ici).

CLI

  • ID de clé d'accès : 20 caractères alphanumériques majuscules aléatoires comme AKHDNAPO86BSHKDIRYT

  • ID de clé d'accès secrète : 40 caractères aléatoires en majuscules et minuscules : S836fh/J73yHSb64Ag3Rkdi/jaD6sPl6/antFtU (Il n'est pas possible de récupérer les ID de clé d'accès secrète perdus).

Chaque fois que vous devez changer la clé d'accès, voici le processus que vous devez suivre : Créez une nouvelle clé d'accès -> Appliquez la nouvelle clé au système/application -> marquez l'original comme inactif -> Testez et vérifiez que la nouvelle clé d'accès fonctionne -> Supprimez l'ancienne clé d'accès

MFA - Authentification Multi-Facteurs

Il est utilisé pour créer un facteur supplémentaire pour l'authentification en plus de vos méthodes existantes, telles que le mot de passe, créant ainsi un niveau d'authentification multi-facteurs. Vous pouvez utiliser une application virtuelle gratuite ou un appareil physique. Vous pouvez utiliser des applications comme Google Authenticator gratuitement pour activer un MFA dans AWS.

Les politiques avec des conditions MFA peuvent être attachées aux éléments suivants :

  • Un utilisateur ou un groupe IAM

  • Une ressource telle qu'un bucket Amazon S3, une file d'attente Amazon SQS ou un sujet Amazon SNS

  • La politique de confiance d'un rôle IAM qui peut être assumé par un utilisateur

Si vous souhaitez accéder via CLI à une ressource qui vérifie MFA, vous devez appeler GetSessionToken. Cela vous donnera un jeton avec des informations sur MFA. Notez que les informations d'identification AssumeRole ne contiennent pas cette information.

aws sts get-session-token --serial-number <arn_device> --token-code <code>

As indiqué ici, il existe de nombreux cas où MFA ne peut pas être utilisé.

Un groupe d'utilisateurs IAM est un moyen de joindre des politiques à plusieurs utilisateurs à la fois, ce qui peut faciliter la gestion des autorisations pour ces utilisateurs. Les rôles et les groupes ne peuvent pas faire partie d'un groupe.

Vous pouvez attacher une politique basée sur l'identité à un groupe d'utilisateurs afin que tous les utilisateurs du groupe d'utilisateurs reçoivent les autorisations de la politique. Vous ne pouvez pas identifier un groupe d'utilisateurs comme un Principal dans une politique (comme une politique basée sur les ressources) car les groupes sont liés aux autorisations, pas à l'authentification, et les principaux sont des entités IAM authentifiées.

Voici quelques caractéristiques importantes des groupes d'utilisateurs :

  • Un groupe d'utilisateurs peut contenir plusieurs utilisateurs, et un utilisateur peut appartenir à plusieurs groupes.

  • Les groupes d'utilisateurs ne peuvent pas être imbriqués ; ils ne peuvent contenir que des utilisateurs, pas d'autres groupes d'utilisateurs.

  • Il n'y a pas de groupe d'utilisateurs par défaut qui inclut automatiquement tous les utilisateurs du compte AWS. Si vous souhaitez avoir un groupe d'utilisateurs comme ça, vous devez le créer et assigner chaque nouvel utilisateur à celui-ci.

  • Le nombre et la taille des ressources IAM dans un compte AWS, comme le nombre de groupes, et le nombre de groupes dont un utilisateur peut être membre, sont limités. Pour plus d'informations, voir Quotas IAM et AWS STS.

Un rôle IAM est très similaire à un utilisateur, en ce sens qu'il s'agit d'une identité avec des politiques d'autorisation qui déterminent ce qu'elle peut et ne peut pas faire dans AWS. Cependant, un rôle n'a pas de credentials (mot de passe ou clés d'accès) qui lui sont associés. Au lieu d'être associé de manière unique à une personne, un rôle est destiné à être assumé par quiconque en a besoin (et a suffisamment de permissions). Un utilisateur IAM peut assumer un rôle pour temporairement prendre des autorisations différentes pour une tâche spécifique. Un rôle peut être assigné à un utilisateur fédéré qui se connecte en utilisant un fournisseur d'identité externe au lieu d'IAM.

Un rôle IAM se compose de deux types de politiques : une politique de confiance, qui ne peut pas être vide, définissant qui peut assumer le rôle, et une politique d'autorisation, qui ne peut pas être vide, définissant ce qu'il peut accéder.

Service de jetons de sécurité AWS (STS)

Le Service de jetons de sécurité AWS (STS) est un service web qui facilite l'émission de credentials temporaires à privilèges limités. Il est spécifiquement conçu pour :

Les credentials temporaires sont principalement utilisés avec les rôles IAM, mais il existe également d'autres utilisations. Vous pouvez demander des credentials temporaires qui ont un ensemble de permissions plus restreint que votre utilisateur IAM standard. Cela empêche que vous effectuiez accidentellement des tâches qui ne sont pas autorisées par les credentials plus restreints. Un avantage des credentials temporaires est qu'ils expirent automatiquement après une période déterminée. Vous avez le contrôle sur la durée pendant laquelle les credentials sont valides.

Politiques

Permissions de politique

Sont utilisées pour attribuer des permissions. Il existe 2 types :

  • Politiques gérées par AWS (préconfigurées par AWS)

  • Politiques gérées par le client : configurées par vous. Vous pouvez créer des politiques basées sur des politiques gérées par AWS (en modifiant l'une d'elles et en créant la vôtre), en utilisant le générateur de politiques (une vue GUI qui vous aide à accorder et refuser des permissions) ou en écrivant la vôtre.

Par défaut, l'accès est refusé, l'accès sera accordé si un rôle explicite a été spécifié. Si un "Deny" unique existe, il remplacera le "Allow", sauf pour les demandes qui utilisent les credentials de sécurité root du compte AWS (qui sont autorisées par défaut).

{
"Version": "2012-10-17",  //Version of the policy
"Statement": [  //Main element, there can be more than 1 entry in this array
{
"Sid": "Stmt32894y234276923" //Unique identifier (optional)
"Effect": "Allow", //Allow or deny
"Action": [  //Actions that will be allowed or denied
"ec2:AttachVolume",
"ec2:DetachVolume"
],
"Resource": [ //Resource the action and effect will be applied to
"arn:aws:ec2:*:*:volume/*",
"arn:aws:ec2:*:*:instance/*"
],
"Condition": { //Optional element that allow to control when the permission will be effective
"ArnEquals": {"ec2:SourceInstanceARN": "arn:aws:ec2:*:*:instance/instance-id"}
}
}
]
}

Les champs globaux qui peuvent être utilisés pour des conditions dans n'importe quel service sont documentés ici. Les champs spécifiques qui peuvent être utilisés pour des conditions par service sont documentés ici.

Politiques en ligne

Ce type de politiques est directement attribué à un utilisateur, un groupe ou un rôle. Ainsi, elles n'apparaissent pas dans la liste des politiques car d'autres peuvent les utiliser. Les politiques en ligne sont utiles si vous souhaitez maintenir une relation stricte un à un entre une politique et l'identité à laquelle elle est appliquée. Par exemple, vous voulez vous assurer que les autorisations dans une politique ne sont pas attribuées par inadvertance à une identité autre que celle pour laquelle elles sont destinées. Lorsque vous utilisez une politique en ligne, les autorisations dans la politique ne peuvent pas être attachées par inadvertance à la mauvaise identité. De plus, lorsque vous utilisez la console de gestion AWS pour supprimer cette identité, les politiques intégrées à l'identité sont également supprimées. C'est parce qu'elles font partie de l'entité principale.

Politiques de seau de ressources

Ce sont des politiques qui peuvent être définies dans des ressources. Toutes les ressources d'AWS ne les prennent pas en charge.

Si un principal n'a pas de refus explicite à leur égard, et qu'une politique de ressource leur accorde l'accès, alors ils sont autorisés.

Limites IAM

Les limites IAM peuvent être utilisées pour limiter les autorisations auxquelles un utilisateur ou un rôle devrait avoir accès. De cette façon, même si un ensemble différent d'autorisations est accordé à l'utilisateur par une politique différente, l'opération échouera s'il essaie de les utiliser.

Une limite est simplement une politique attachée à un utilisateur qui indique le niveau maximum d'autorisations que l'utilisateur ou le rôle peut avoir. Donc, même si l'utilisateur a un accès Administrateur, si la limite indique qu'il ne peut lire que des seaux S·, c'est le maximum qu'il peut faire.

Cela, les SCP et le respect du principe du moindre privilège sont les moyens de contrôler que les utilisateurs n'ont pas plus d'autorisations que celles dont ils ont besoin.

Politiques de session

Une politique de session est une politique définie lorsqu'un rôle est assumé d'une manière ou d'une autre. Cela sera comme une limite IAM pour cette session : Cela signifie que la politique de session ne donne pas d'autorisations mais les restreint à celles indiquées dans la politique (les autorisations maximales étant celles que le rôle a).

Ceci est utile pour des mesures de sécurité : Lorsque un administrateur va assumer un rôle très privilégié, il pourrait restreindre l'autorisation uniquement à celles indiquées dans la politique de session au cas où la session serait compromise.

aws sts assume-role \
--role-arn <value> \
--role-session-name <value> \
[--policy-arns <arn_custom_policy1> <arn_custom_policy2>]
[--policy <file://policy.json>]

Notez qu'en défaut, AWS peut ajouter des politiques de session aux sessions qui vont être générées pour d'autres raisons. Par exemple, dans les rôles supposés cognito non authentifiés par défaut (en utilisant une authentification améliorée), AWS générera des identifiants de session avec une politique de session qui limite les services auxquels la session peut accéder à la liste suivante.

Par conséquent, si à un moment donné vous rencontrez l'erreur "... parce qu'aucune politique de session ne permet le ...", et que le rôle a accès pour effectuer l'action, c'est parce que il y a une politique de session qui l'empêche.

Fédération d'identité

La fédération d'identité permet aux utilisateurs des fournisseurs d'identité qui sont externes à AWS d'accéder aux ressources AWS de manière sécurisée sans avoir à fournir les identifiants d'utilisateur AWS d'un compte IAM valide. Un exemple de fournisseur d'identité peut être votre propre Microsoft Active Directory (via SAML) ou des services OpenID (comme Google). L'accès fédéré permettra alors aux utilisateurs de l'intérieur d'accéder à AWS.

Pour configurer cette confiance, un fournisseur d'identité IAM est généré (SAML ou OAuth) qui fera confiance à la autre plateforme. Ensuite, au moins un rôle IAM est attribué (faisant confiance) au fournisseur d'identité. Si un utilisateur de la plateforme de confiance accède à AWS, il le fera en accédant au rôle mentionné.

Cependant, vous voudrez généralement donner un rôle différent en fonction du groupe de l'utilisateur dans la plateforme tierce. Ensuite, plusieurs rôles IAM peuvent faire confiance au fournisseur d'identité tiers et la plateforme tierce sera celle qui permettra aux utilisateurs d'assumer un rôle ou un autre.

Centre d'identité IAM

AWS IAM Identity Center (successeur d'AWS Single Sign-On) étend les capacités de la gestion des identités et des accès AWS (IAM) pour fournir un endroit central qui regroupe l'administration des utilisateurs et leur accès aux comptes AWS et aux applications cloud.

Le domaine de connexion sera quelque chose comme <user_input>.awsapps.com.

Pour connecter des utilisateurs, il y a 3 sources d'identité qui peuvent être utilisées :

  • Répertoire Identity Center : Utilisateurs AWS réguliers

  • Active Directory : Prend en charge différents connecteurs

  • Fournisseur d'identité externe : Tous les utilisateurs et groupes proviennent d'un fournisseur d'identité externe (IdP)

Dans le cas le plus simple du répertoire Identity Center, le Centre d'identité aura une liste d'utilisateurs et de groupes et pourra attribuer des politiques à ceux-ci pour n'importe lequel des comptes de l'organisation.

Pour donner accès à un utilisateur/groupe du Centre d'identité à un compte, un fournisseur d'identité SAML faisant confiance au Centre d'identité sera créé, et un rôle faisant confiance au fournisseur d'identité avec les politiques indiquées sera créé dans le compte de destination.

AwsSSOInlinePolicy

Il est possible de donner des autorisations via des politiques en ligne aux rôles créés via IAM Identity Center. Les rôles créés dans les comptes recevant des politiques en ligne dans AWS Identity Center auront ces autorisations dans une politique en ligne appelée AwsSSOInlinePolicy.

Par conséquent, même si vous voyez 2 rôles avec une politique en ligne appelée AwsSSOInlinePolicy, cela ne signifie pas qu'ils ont les mêmes autorisations.

Confiances et rôles inter-comptes

Un utilisateur (faisant confiance) peut créer un rôle inter-comptes avec certaines politiques et ensuite, permettre à un autre utilisateur (de confiance) d'accéder à son compte mais seulement en ayant l'accès indiqué dans les nouvelles politiques de rôle. Pour créer cela, il suffit de créer un nouveau rôle et de sélectionner le rôle inter-comptes. Les rôles pour l'accès inter-comptes offrent deux options. Fournir un accès entre les comptes AWS que vous possédez, et fournir un accès entre un compte que vous possédez et un compte AWS tiers. Il est recommandé de spécifier l'utilisateur qui est de confiance et de ne pas mettre quelque chose de générique car sinon, d'autres utilisateurs authentifiés comme les utilisateurs fédérés pourront également abuser de cette confiance.

AWS Simple AD

Non pris en charge :

  • Relations de confiance

  • Centre d'administration AD

  • Prise en charge complète de l'API PS

  • Corbeille AD

  • Comptes de service gérés par groupe

  • Extensions de schéma

  • Pas d'accès direct au système d'exploitation ou aux instances

Fédération Web ou authentification OpenID

L'application utilise AssumeRoleWithWebIdentity pour créer des identifiants temporaires. Cependant, cela ne donne pas accès à la console AWS, juste accès aux ressources au sein d'AWS.

Autres options IAM

  • Vous pouvez définir une politique de mot de passe avec des options comme la longueur minimale et les exigences de mot de passe.

  • Vous pouvez télécharger un "Rapport d'identifiants" avec des informations sur les identifiants actuels (comme le temps de création de l'utilisateur, si le mot de passe est activé...). Vous pouvez générer un rapport d'identifiants aussi souvent qu'une fois toutes les quatre heures.

La gestion des identités et des accès AWS (IAM) fournit un contrôle d'accès granulaire sur l'ensemble d'AWS. Avec IAM, vous pouvez spécifier qui peut accéder à quels services et ressources, et sous quelles conditions. Avec les politiques IAM, vous gérez les autorisations de votre main-d'œuvre et de vos systèmes pour assurer des autorisations de moindre privilège.

Préfixes d'ID IAM

Dans cette page, vous pouvez trouver les préfixes d'ID IAM des clés en fonction de leur nature :

Autorisations recommandées pour auditer les comptes

Les privilèges suivants accordent divers accès en lecture des métadonnées :

  • arn:aws:iam::aws:policy/SecurityAudit

  • arn:aws:iam::aws:policy/job-function/ViewOnlyAccess

  • codebuild:ListProjects

  • config:Describe*

  • cloudformation:ListStacks

  • logs:DescribeMetricFilters

  • directconnect:DescribeConnections

  • dynamodb:ListTables

Divers

Authentification CLI

Pour qu'un utilisateur régulier s'authentifie à AWS via CLI, vous devez avoir des identifiants locaux. Par défaut, vous pouvez les configurer manuellement dans ~/.aws/credentials ou en exécutant aws configure. Dans ce fichier, vous pouvez avoir plus d'un profil, si aucun profil n'est spécifié en utilisant le cli aws, celui appelé [default] dans ce fichier sera utilisé. Exemple de fichier d'identifiants avec plus d'un profil :

[default]
aws_access_key_id = AKIA5ZDCUJHF83HDTYUT
aws_secret_access_key = uOcdhof683fbOUGFYEQug8fUGIf68greoihef

[Admin]
aws_access_key_id = AKIA8YDCu7TGTR356SHYT
aws_secret_access_key = uOcdhof683fbOUGFYEQuR2EIHG34UY987g6ff7
region = eu-west-2

If you need to access different AWS accounts and your profile was given access to assume a role inside those accounts, you don't need to call manually STS every time (aws sts assume-role --role-arn <role-arn> --role-session-name sessname) and configure the credentials.

Vous pouvez utiliser le fichier ~/.aws/config pour indiquer quels rôles assumer, puis utiliser le paramètre --profile comme d'habitude (l'assume-role sera effectué de manière transparente pour l'utilisateur). Un exemple de fichier de configuration :

[profile acc2]
region=eu-west-2
role_arn=arn:aws:iam::<account-id>:role/<role-path>
role_session_name = <session_name>
source_profile = <profile_with_assume_role>
sts_regional_endpoints = regional

Avec ce fichier de configuration, vous pouvez ensuite utiliser aws cli comme :

aws --profile acc2 ...

Si vous recherchez quelque chose de similaire à cela mais pour le navigateur, vous pouvez consulter l'extension AWS Extend Switch Roles.

Références

Soutenir HackTricks

Last updated