AWS - SSO & identitystore Privesc
Kituo cha Utambulisho cha AWS / AWS SSO
Kwa habari zaidi kuhusu Kituo cha Utambulisho cha AWS / AWS SSO angalia:
pageAWS - IAM, Identity Center & SSO EnumTambua kwamba kwa chaguo-msingi, ni watumiaji tu wenye ruhusa kutoka kwenye Akaunti ya Usimamizi ndio wataweza kufikia na kudhibiti Kituo cha Utambulisho cha IAM. Watumiaji kutoka akaunti zingine wanaweza kuruhusiwa ikiwa akaunti hiyo ni Msimamizi aliyeidhinishwa. Angalia nyaraka kwa maelezo zaidi.
Rudisha Nenosiri
Njia rahisi ya kuinua viwango vya ruhusa katika hali kama hii ni kuwa na ruhusa inayoruhusu kurejesha nywila za watumiaji. Kwa bahati mbaya ni tuwezekana kutuma barua pepe kwa mtumiaji ili arudishe nenosiri lake, hivyo utahitaji ufikiaji wa barua pepe ya mtumiaji.
identitystore:CreateGroupMembership
identitystore:CreateGroupMembership
Kwa ruhusa hii, ni rahisi kuweka mtumiaji ndani ya kikundi ili apate kurithi ruhusa zote ambazo kikundi kinazo.
sso:WekaSeraMojaKwaSetiYaRuhusa
, sso:ToaRuhusaYaUtoaji
sso:WekaSeraMojaKwaSetiYaRuhusa
, sso:ToaRuhusaYaUtoaji
Mshambuliaji mwenye idhini hii anaweza kutoa ruhusa za ziada kwa Seti ya Ruhusa ambayo imeruhusiwa kwa mtumiaji chini ya udhibiti wake
sso:AttachManagedPolicyToPermissionSet
, sso:ProvisionPermissionSet
sso:AttachManagedPolicyToPermissionSet
, sso:ProvisionPermissionSet
Mshambuliaji mwenye ruhusa hii anaweza kutoa ruhusa za ziada kwa Seti ya Ruhusa ambayo imeruhusiwa kwa mtumiaji chini ya udhibiti wake
sso:AttachCustomerManagedPolicyReferenceToPermissionSet
, sso:ProvisionPermissionSet
sso:AttachCustomerManagedPolicyReferenceToPermissionSet
, sso:ProvisionPermissionSet
Mshambuliaji mwenye ruhusa hii anaweza kutoa ruhusa za ziada kwa Seti ya Ruhusa ambayo imeruhusiwa kwa mtumiaji chini ya udhibiti wake.
Kutumia ruhusa hizi katika kesi hii unahitaji kujua jina la sera iliyosimamiwa na mteja ambayo iko NDANI YA akaunti ZOTE zitakazoathiriwa.
sso:GetRoleCredentials
sso:GetRoleCredentials
Inarudisha sifa za muda mfupi za STS kwa jina la jukumu lililopewa mtumiaji.
Walakini, unahitaji tokeni ya ufikiaji ambayo siyo hakika jinsi ya kuipata (TODO).
sso:DetachManagedPolicyFromPermissionSet
sso:DetachManagedPolicyFromPermissionSet
Mshambuliaji mwenye ruhusa hii anaweza kuondoa uhusiano kati ya sera iliyoandaliwa na AWS kutoka kwenye seti ya ruhusa iliyotajwa. Inawezekana kutoa mamlaka zaidi kupitia kuondoa sera iliyoandaliwa (sera ya kukataa).
sso:DetachCustomerManagedPolicyReferenceFromPermissionSet
sso:DetachCustomerManagedPolicyReferenceFromPermissionSet
Mshambuliaji mwenye ruhusa hii anaweza kuondoa uhusiano kati ya sera iliyosimamiwa na mteja kutoka kwa seti ya ruhusa iliyotajwa. Inawezekana kutoa ruhusa zaidi kupitia kuondoa sera iliyosimamiwa (sera ya kukataa).
sso:DeletePermissionBoundaryFromPermissionSet
sso:DeletePermissionBoundaryFromPermissionSet
Mshambuliaji mwenye ruhusa hii anaweza kuondoa Kizuizi cha Ruhusa kutoka kwa seti ya ruhusa. Inawezekana kutoa ruhusa zaidi kwa kuondoa vizuizi kwenye Seti ya Ruhusa iliyotolewa kutoka kwa Kizuizi cha Ruhusa.
Last updated