AWS - Federation Abuse
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Pour des informations sur SAML, veuillez consulter :
Pour configurer une fédération d'identité via SAML, vous devez simplement fournir un nom et le XML de métadonnées contenant toute la configuration SAML (points de terminaison, certificat avec clé publique)
Pour ajouter une action github en tant que fournisseur d'identité :
Pour Type de fournisseur, sélectionnez OpenID Connect.
Pour URL du fournisseur, entrez https://token.actions.githubusercontent.com
Cliquez sur Obtenir l'empreinte digitale pour obtenir l'empreinte digitale du fournisseur
Pour Audience, entrez sts.amazonaws.com
Créez un nouveau rôle avec les permissions dont l'action github a besoin et une politique de confiance qui fait confiance au fournisseur comme :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Federated": "arn:aws:iam::0123456789:oidc-provider/token.actions.githubusercontent.com" }, "Action": "sts:AssumeRoleWithWebIdentity", "Condition": { "StringEquals": { "token.actions.githubusercontent.com:sub": [ "repo:ORG_OR_USER_NAME/REPOSITORY:pull_request", "repo:ORG_OR_USER_NAME/REPOSITORY:ref:refs/heads/main" ], "token.actions.githubusercontent.com:aud": "sts.amazonaws.com" } } } ] }
Il est possible de générer des OIDC providers dans un EKS cluster simplement en définissant l'OIDC URL du cluster comme un nouveau fournisseur d'identité Open ID. C'est une politique par défaut courante :
Cette politique indique correctement que seulement le cluster EKS avec id 20C159CDF6F2349B68846BEC03BE031B
peut assumer le rôle. Cependant, elle n'indique pas quel compte de service peut l'assumer, ce qui signifie qu**'AUCUN compte de service avec un jeton d'identité web** va pouvoir assumer le rôle.
Pour spécifier quel compte de service devrait pouvoir assumer le rôle, il est nécessaire de spécifier une condition où le nom du compte de service est spécifié, comme :
Apprenez et pratiquez le hacking AWS :HackTricks Formation Expert Red Team AWS (ARTE) Apprenez et pratiquez le hacking GCP : HackTricks Formation Expert Red Team GCP (GRTE)