AWS - Federation Abuse
Last updated
Last updated
Impara e pratica Hacking AWS: Impara e pratica Hacking GCP:
Per informazioni su SAML, controlla:
Per configurare una Federazione di Identità tramite SAML, devi solo fornire un nome e il metadata XML contenente tutta la configurazione SAML (endpoint, certificato con chiave pubblica)
Per aggiungere un'azione github come provider di identità:
Per Tipo di Provider, seleziona OpenID Connect.
Per URL del Provider, inserisci https://token.actions.githubusercontent.com
Clicca su Ottieni thumbprint per ottenere il thumbprint del provider
Per Audience, inserisci sts.amazonaws.com
Crea un nuovo ruolo con le permissive di cui l'azione github ha bisogno e una politica di fiducia che fidi il provider come:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Federated": "arn:aws:iam::0123456789:oidc-provider/token.actions.githubusercontent.com" }, "Action": "sts:AssumeRoleWithWebIdentity", "Condition": { "StringEquals": { "token.actions.githubusercontent.com:sub": [ "repo:ORG_OR_USER_NAME/REPOSITORY:pull_request", "repo:ORG_OR_USER_NAME/REPOSITORY:ref:refs/heads/main" ], "token.actions.githubusercontent.com:aud": "sts.amazonaws.com" } } } ] }
È possibile generare OIDC providers in un EKS cluster semplicemente impostando l'OIDC URL del cluster come un nuovo provider di identità Open ID. Questa è una politica predefinita comune:
Questa policy indica correttamente che solo il cluster EKS con id 20C159CDF6F2349B68846BEC03BE031B
può assumere il ruolo. Tuttavia, non indica quale account di servizio può assumerlo, il che significa che QUALSIASI account di servizio con un token di identità web sarà in grado di assumere il ruolo.
Per specificare quale account di servizio dovrebbe essere in grado di assumere il ruolo, è necessario specificare una condizione in cui è specificato il nome dell'account di servizio, come:
Impara e pratica Hacking AWS: Impara e pratica Hacking GCP:
Controlla i !
Unisciti al 💬 o al o seguici su Twitter 🐦 .
Condividi trucchi di hacking inviando PR ai e repos su github.