AWS - Federation Abuse
SAML
Для отримання інформації про SAML, будь ласка, перегляньте:
Щоб налаштувати Ідентифікаційну Федерацію через SAML, вам потрібно лише надати ім'я та метадані XML, що містять усю конфігурацію SAML (кінцеві точки, сертифікат з відкритим ключем)
OIDC - Github Actions Abuse
Щоб додати дію github як постачальника ідентифікації:
Для Типу постачальника виберіть OpenID Connect.
Для URL постачальника введіть
https://token.actions.githubusercontent.com
Натисніть Отримати відбиток для отримання відбитка постачальника
Для Аудиторії введіть
sts.amazonaws.com
Створіть нову роль з дозволами, які потрібні дії github, та політикою довіри, яка довіряє постачальнику, як:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Federated": "arn:aws:iam::0123456789:oidc-provider/token.actions.githubusercontent.com" }, "Action": "sts:AssumeRoleWithWebIdentity", "Condition": { "StringEquals": { "token.actions.githubusercontent.com:sub": [ "repo:ORG_OR_USER_NAME/REPOSITORY:pull_request", "repo:ORG_OR_USER_NAME/REPOSITORY:ref:refs/heads/main" ], "token.actions.githubusercontent.com:aud": "sts.amazonaws.com" } } } ] }
OIDC - Зловживання EKS
Можливо створити OIDC providers у кластері EKS, просто встановивши OIDC URL кластера як нового постачальника ідентичності Open ID. Це звичайна стандартна політика:
Ця політика правильно вказує, що тільки EKS кластер з id 20C159CDF6F2349B68846BEC03BE031B
може приймати роль. Однак, вона не вказує, який обліковий запис служби може її приймати, що означає, що БУДЬ-ЯКИЙ обліковий запис служби з веб-ідентифікаційним токеном зможе приймати роль.
Щоб вказати, який обліковий запис служби повинен мати можливість приймати роль, потрібно вказати умову, де вказується ім'я облікового запису служби, наприклад:
References
Last updated