AWS - IAM Post Exploitation
IAM
IAMアクセスの詳細については:
pageAWS - IAM, Identity Center & SSO Enum混乱した副官問題
外部アカウント(A)があなたのアカウント内のロールにアクセスを許可すると、その外部アカウントが正確にアクセスできるかどうかについて0の可視性がある可能性があります。これは問題です、なぜなら別の外部アカウント(B)が外部アカウント(A)にアクセスできる場合、Bもあなたのアカウントにアクセスできる可能性があるからです。
したがって、外部アカウントがあなたのアカウント内のロールにアクセスできるようにする場合、ExternalId
を指定することが可能です。これは、外部アカウント(A)が組織内のロールを仮定するために指定する必要がある「秘密」の文字列です。外部アカウントBがこの文字列を知らない限り、Aにアクセス権があっても、あなたのロールにアクセスできなくなります。
ただし、このExternalId
「秘密」は秘密ではないことに注意してください。IAMアサムロールポリシーを読むことができる人であれば、それを見ることができます。ただし、外部アカウントAがそれを知っている限り、外部アカウントBがそれを知らない限り、BがAを悪用してあなたのロールにアクセスするのを防ぎます。
例:
攻撃者が混乱した代理人を悪用するためには、現在のアカウントの主体が他のアカウントの役割をなりすますことができるかどうかを見つける必要があります。
予期しない信頼
プリンシパルとしてのワイルドカード
このポリシーは、すべてのAWSがそのロールを前提とすることを許可します。
サービスを主体として
このポリシーは、どのアカウントでも、そのLambdaを呼び出すために自分のapigatewayを構成できるようにします。
プリンシパルとしてのS3
サポートされていません
一般的な混乱した代理人問題を回避する方法は、AWS:SourceArn
との条件を使用して元のARNをチェックすることです。ただし、一部のサービスはそれをサポートしていない場合があります(一部の情報源によると、CloudTrailなど)。
参考
最終更新