Last updated
Za više informacija o pristupu IAM-u:
Ako dozvolite spoljnom nalogu (A) pristup ulogi u vašem nalogu, verovatno nećete imati vidljivost o ko može tačno pristupiti tom spoljnom nalogu. To je problem, jer ako drugi spoljni nalog (B) može pristupiti spoljnom nalogu (A), moguće je da B takođe može pristupiti vašem nalogu.
Stoga, kada dozvoljavate spoljnom nalogu pristup ulozi u vašem nalogu, moguće je specificirati ExternalId. Ovo je "tajni" string koji spoljni nalog (A) mora specificirati kako bi pretpostavio ulogu u vašoj organizaciji. Pošto spoljni nalog B neće znati ovaj string, čak i ako ima pristup nad A, neće moći pristupiti vašoj ulozi.
Međutim, imajte na umu da ovaj ExternalId "tajni" nije zapravo tajna, svako ko može pročitati politiku pretpostavljanja uloge IAM-a moći će je videti. Ali sve dok spoljni nalog A zna za to, a spoljni nalog B ne zna, sprečava B da zloupotrebi A kako bi pristupio vašoj ulozi.
Primer:
Da bi napadač iskoristio zbunjenog zamenika, moraće na neki način da otkrije da li principali trenutnog naloga mogu da se predstave kao uloge u drugim nalozima.
Ova politika omogućava svim AWS da preuzmu ulogu.
Ova politika omogućava svakom nalogu da konfiguriše svoj apigateway da pozove ovaj Lambda.
Ako je S3 kanta data kao princip, jer S3 kante nemaju ID naloga, ako izbrišete svoju kantu i napadač je kreira u svom nalogu, tada bi to mogli zloupotrebiti.
Jedan uobičajeni način za izbegavanje problema sa zbunjenim zamenikom je korišćenje uslova sa AWS:SourceArn da proveri poreklo ARN-a. Međutim, neke usluge možda ne podržavaju to (kao što je CloudTrail prema nekim izvorima).
