Last updated
IAM erişimi hakkında daha fazla bilgi için:
AWS - IAM, Identity Center & SSO EnumEğer harici bir hesabın (A) hesabınızda bir rolü erişime izin verirseniz, büyük olasılıkla bu harici hesaba kimin tam olarak erişebileceğini göremezsiniz. Bu bir sorundur, çünkü başka bir harici hesap (B), harici hesap (A)'ya erişebiliyorsa, B'nin aynı zamanda hesabınıza da erişebilmesi mümkündür.
Bu nedenle, harici bir hesabın hesabınızdaki bir role erişmesine izin verirken, bir ExternalId belirtmek mümkündür. Bu, harici hesabın (A) kuruluşunuzdaki role erişmek için belirtmesi gereken "gizli" bir dizedir. Harici hesap B bu dizesi bilmediği için, A'ya erişimi olsa bile rolünüze erişemez.
Ancak, bu ExternalId "gizli" dizesinin gerçekte bir sır olmadığını, IAM rolü kabul etme politikasını okuyabilen herkesin görebileceğini unutmayın. Ancak, harici hesap A bunu bildiği sürece, harici hesap B bilmediği için, B'nin A'yı kötüye kullanarak rolünüze erişmesini engeller.
Örnek:
Bir saldırganın bir confused deputy'yi sömürmesi için, mevcut hesabın prensiplerinin diğer hesaplardaki rolleri taklit edebilip edemeyeceğini bir şekilde bulması gerekecektir.
Bu politika, rolü tüm AWS'nin üstlenebilmesine izin verir.
Bu politika, herhangi bir hesabın apigateway'ini bu Lambda'yı çağırmak için yapılandırmasına izin verir.
Eğer bir S3 kovası birincil olarak verilirse, çünkü S3 kovalarının bir Hesap Kimliği yoktur, eğer kovayı sildiyseniz ve saldırgan kendi hesabında oluşturduysa, bunu istismar edebilirler.
Confused Deputy sorunlarını önlemenin yaygın bir yolu, köken ARN'sini kontrol etmek için AWS:SourceArn ile bir koşul kullanmaktır. Ancak, bazı hizmetler bunu desteklemeyebilir (örneğin, bazı kaynaklara göre CloudTrail).
