[英]Limiting other AWS IAM roles from interacting with resources/privilege escalation
我在 AWS 中有两个 IAM 角色; A 和 B. 在角色 AI 中有一个明确的拒绝,以防止在 Elastic Map Reduce(EMR) 中执行某些权限。 如何防止角色 B 可以更新为允许角色 A 中被拒绝的权限的情况?
我对我们的 IAM 联合不是很熟悉,但我的理解是用户访问联合门户 URL 并获得初始角色,他们可以根据他们所在的 AD 组从单选按钮 select。从那里用户可以更改如果权限设置正确,角色/承担角色。 目前我们有大约 150 个角色,我需要确保它们没有能力规避角色 A 中的显式拒绝。
如果可能,最好避免Deny策略,因为它们通常不会按人们预期的方式工作。 AWS 具有“默认拒绝”行为,因此最好通过限制Allow权限来控制访问。
不幸的是,许多组织使用“Grant All”权限,例如授予s3:*权限并授予人们Admin权限。 这些示例授予了太多权限,可能需要Deny才能覆盖。
某些服务(例如 Amazon S3、Amazon SQS)还能够应用特定于服务的策略(例如 S3 存储桶策略),除了 IAM 之外,这些策略还可以授予权限。
一个好的起点是严格限制谁拥有iam:权限。 只有管理员才能使用 IAM(并且只能通过管理员需要担任的 IAM 角色授予)。 通过控制此类访问,它将避免您担心 IAM 角色可能被修改以允许不需要的访问的情况。
对于严格控制对某些资源的访问至关重要的最坏情况(例如,包含 HR 信息的 S3 存储桶),常见的做法是创建一个单独的 AWS 账户并授予有限的跨账户访问权限。 这样,将不会通过通用管理策略授予访问权限。
AWS - Fargate 实例和其他 AWS 服务之间的 IAM 角色
[英]AWS - IAM Roles between Fargate instances and other AWS services
限制 AWS IAM 角色只修改其他角色的特定 IAM 权限?
[英]Limit AWS IAM role to modify only specific IAM permissions of other roles?
AWS IAM 角色:如何确定每个 AWS 服务的特定权限
[英]AWS IAM Roles : How to identify specific permission for each AWS service
如何生成我的所有 IAM 角色以及在 AWS 上使用这些角色的服务的列表
[英]How can I generate a list of all my IAM roles and the services using those roles on AWS
terraform 中 aws_iam_policy 资源中条件的语法
[英]Syntax for conditions in aws_iam_policy resources in terraform
AWS IAM,限制一个账户只能查看和访问它自己创建的资源?
[英]AWS IAM, restricting an account to see and access only resources created by itself?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
