AWS - Federation Abuse
SAML
Para información sobre SAML, por favor revisa:
Para configurar una Federación de Identidad a través de SAML, solo necesitas proporcionar un nombre y el XML de metadatos que contiene toda la configuración de SAML (puntos finales, certificado con clave pública)
OIDC - Abuso de Github Actions
Para añadir una acción de github como proveedor de identidad:
Para Tipo de proveedor, selecciona OpenID Connect.
Para URL del proveedor, introduce
https://token.actions.githubusercontent.com
Haz clic en Obtener huella digital para obtener la huella digital del proveedor
Para Audiencia, introduce
sts.amazonaws.com
Crea un nuevo rol con los permisos que la acción de github necesita y una política de confianza que confíe en el proveedor como:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Federated": "arn:aws:iam::0123456789:oidc-provider/token.actions.githubusercontent.com" }, "Action": "sts:AssumeRoleWithWebIdentity", "Condition": { "StringEquals": { "token.actions.githubusercontent.com:sub": [ "repo:ORG_OR_USER_NAME/REPOSITORY:pull_request", "repo:ORG_OR_USER_NAME/REPOSITORY:ref:refs/heads/main" ], "token.actions.githubusercontent.com:aud": "sts.amazonaws.com" } } } ] }
OIDC - Abuso de EKS
Es posible generar OIDC providers en un clúster EKS simplemente configurando la OIDC URL del clúster como un nuevo Open ID Identity provider. Esta es una política predeterminada común:
Esta política indica correctamente que solo el EKS cluster con id 20C159CDF6F2349B68846BEC03BE031B
puede asumir el rol. Sin embargo, no indica qué cuenta de servicio puede asumirlo, lo que significa que CUALQUIER cuenta de servicio con un token de identidad web va a ser capaz de asumir el rol.
Para especificar qué cuenta de servicio debería poder asumir el rol, es necesario especificar una condición donde se especifique el nombre de la cuenta de servicio, como:
```bash "oidc.eks.region-code.amazonaws.com/id/20C159CDF6F2349B68846BEC03BE031B:sub": "system:serviceaccount:default:my-service-account", ``` ## Referencias
Última actualización