AWS - Federation Abuse
SAML
SAML के बारे में जानकारी के लिए कृपया देखें:
SAML के माध्यम से एक पहचान संघ को कॉन्फ़िगर करने के लिए, आपको केवल एक नाम और मेटाडेटा XML प्रदान करने की आवश्यकता है जिसमें सभी SAML कॉन्फ़िगरेशन (एंडपॉइंट्स, सार्वजनिक कुंजी के साथ प्रमाणपत्र) शामिल हैं।
OIDC - Github Actions Abuse
एक github क्रिया को पहचान प्रदाता के रूप में जोड़ने के लिए:
Provider type के लिए, OpenID Connect चुनें।
Provider URL के लिए,
https://token.actions.githubusercontent.com
दर्ज करें।प्रदाता के थंबप्रिंट प्राप्त करने के लिए Get thumbprint पर क्लिक करें।
Audience के लिए,
sts.amazonaws.com
दर्ज करें।एक नया भूमिका बनाएं जिसमें अनुमतियाँ हों जो github क्रिया को चाहिए और एक विश्वास नीति जो प्रदाता पर विश्वास करती हो जैसे:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Federated": "arn:aws:iam::0123456789:oidc-provider/token.actions.githubusercontent.com" }, "Action": "sts:AssumeRoleWithWebIdentity", "Condition": { "StringEquals": { "token.actions.githubusercontent.com:sub": [ "repo:ORG_OR_USER_NAME/REPOSITORY:pull_request", "repo:ORG_OR_USER_NAME/REPOSITORY:ref:refs/heads/main" ], "token.actions.githubusercontent.com:aud": "sts.amazonaws.com" } } } ] }
OIDC - EKS दुरुपयोग
यह संभव है कि EKS क्लस्टर में OIDC providers उत्पन्न किए जाएं, बस क्लस्टर के OIDC URL को नए Open ID Identity provider के रूप में सेट करके। यह एक सामान्य डिफ़ॉल्ट नीति है:
यह नीति सही ढंग से संकेत कर रही है कि केवल EKS क्लस्टर जिसका id 20C159CDF6F2349B68846BEC03BE031B
है, वह भूमिका ग्रहण कर सकता है। हालाँकि, यह यह नहीं बता रहा है कि कौन सी सेवा खाता इसे ग्रहण कर सकता है, जिसका अर्थ है कि किसी भी सेवा खाते के पास एक वेब पहचान टोकन होने पर वह भूमिका ग्रहण करने में सक्षम होगा।
जिस सेवा खाते को भूमिका ग्रहण करने में सक्षम होना चाहिए, उसे निर्दिष्ट करने के लिए एक शर्त निर्दिष्ट करना आवश्यक है जहाँ सेवा खाता नाम निर्दिष्ट किया गया है, जैसे:
संदर्भ
Last updated