[英]Limiting other AWS IAM roles from interacting with resources/privilege escalation
我在 AWS 中有兩個 IAM 角色; A 和 B. 在角色 AI 中有一個明確的拒絕,以防止在 Elastic Map Reduce(EMR) 中執行某些權限。 如何防止角色 B 可以更新為允許角色 A 中被拒絕的權限的情況?
我對我們的 IAM 聯合不是很熟悉,但我的理解是用戶訪問聯合門戶 URL 並獲得初始角色,他們可以根據他們所在的 AD 組從單選按鈕 select。從那里用戶可以更改如果權限設置正確,角色/承擔角色。 目前我們有大約 150 個角色,我需要確保它們沒有能力規避角色 A 中的顯式拒絕。
如果可能,最好避免Deny策略,因為它們通常不會按人們預期的方式工作。 AWS 具有“默認拒絕”行為,因此最好通過限制Allow權限來控制訪問。
不幸的是,許多組織使用“Grant All”權限,例如授予s3:*權限並授予人們Admin權限。 這些示例授予了太多權限,可能需要Deny才能覆蓋。
某些服務(例如 Amazon S3、Amazon SQS)還能夠應用特定於服務的策略(例如 S3 存儲桶策略),除了 IAM 之外,這些策略還可以授予權限。
一個好的起點是嚴格限制誰擁有iam:權限。 只有管理員才能使用 IAM(並且只能通過管理員需要擔任的 IAM 角色授予)。 通過控制此類訪問,它將避免您擔心 IAM 角色可能被修改以允許不需要的訪問的情況。
對於嚴格控制對某些資源的訪問至關重要的最壞情況(例如,包含 HR 信息的 S3 存儲桶),常見的做法是創建一個單獨的 AWS 賬戶並授予有限的跨賬戶訪問權限。 這樣,將不會通過通用管理策略授予訪問權限。
AWS - Fargate 實例和其他 AWS 服務之間的 IAM 角色
[英]AWS - IAM Roles between Fargate instances and other AWS services
限制 AWS IAM 角色只修改其他角色的特定 IAM 權限?
[英]Limit AWS IAM role to modify only specific IAM permissions of other roles?
AWS IAM 角色:如何確定每個 AWS 服務的特定權限
[英]AWS IAM Roles : How to identify specific permission for each AWS service
如何生成我的所有 IAM 角色以及在 AWS 上使用這些角色的服務的列表
[英]How can I generate a list of all my IAM roles and the services using those roles on AWS
terraform 中 aws_iam_policy 資源中條件的語法
[英]Syntax for conditions in aws_iam_policy resources in terraform
AWS IAM,限制一個賬戶只能查看和訪問它自己創建的資源?
[英]AWS IAM, restricting an account to see and access only resources created by itself?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
