Recuperando baldes S3 travados em organizações da AWS usando o PUSTEROOT

📍 Cenário Imagine que você é quem gerencia todas as contas da AWS sob sua organização. Um dia, um desenvolvedor enquanto tenta apertar a segurança, aplica uma política tão restritiva que o ele bloqueia todos, inclusive a si mesmo no processo. A política? Algo como o abaixo {“sid”: “DenyallexceptPipline”, “Effect”: “Deny”, “Principal”: “*”, “Action”: “S3:*”, “Recurso”: [
“arn:aws:s3:::project-prod-1”,
“arn:aws:s3:::project-prod-1/*”
]”Condition”: {“StringNoteQuals”: {“AWS: Principaln”: “arn: aws: iam :: 150641481443: função/pipelineAccesss3”}}}} inserir o modo de tela completa out -screen, o modo de intenção que o desenvolvedor desejava permitir apenas o pipel Não são permitidas mudanças manuais. O que deu errado? Erros como esses geralmente acontecem em ambientes em ritmo acelerado com vários colaboradores. Nesse caso: nenhum administrador ou mesmo os desenvolvedores do ARN foi incluído nos usuários da IAM Policy, mesmo com permissões de administrador completas, não podem acessar o balde para atualizar as configurações que o pipeline pode acessar o balde, mas você não pode invocá -lo para excluir/corrigir a política em contas independentes, alguém com credenciais raiz teria para registrá -lo e corrigir. Mas essa conta foi criada sob sua organização usando padrões seguros. Isso significa que não há perfil de login de raiz. E agora, você está trancado fora do balde crítico, e Iam não pode ajudar. É aqui que o assumerOOOT vem à tona. Como será a jornada? O entendimento assume que a raiz projetada especificamente para organizações da AWS, o PUSTEROOT fornece um conjunto de credenciais temporárias que ajudam a executar certas tarefas privilegiadas em uma conta de membro, como a remoção de uma política de balde. Embora possa parecer parecido com a Pespremo, mas é diferente. O PUSPRESSÃO NÃO CONSULHADO NO POLÍTICAS DE CONFIANÇA ou A DELEGAÇÃO DA IAM e é muito mais limitado em escopo. Destina -se a tarefas específicas e críticas. É importante ressaltar que não é um substituto para o acesso à raiz; Em vez disso, ele suporta um conjunto limitado de operações críticas, como: podemos usar políticas personalizadas? A resposta curta é nº, mas há mais, e os detalhes são apenas um rolagem à frente! Antes de mergulharmos, verifique se sua configuração atende aos pré -requisitos abaixo. Estes são essenciais para garantir que tudo funcione bem. As organizações pré -requisitos da AWS estão ativadas, você tem acesso à conta de gerenciamento, uma política de balde S3 configurada incorretamente na conta do membro. Testando o que não funciona antes de vermos como o PUSPREEROOT ajuda, vamos primeiro explorar o que pode parecer abordagens válidas, mas ficar aquém. Vamos analisar os principais parâmetros necessários para fazer uma solicitação de PUSPRESS: Ação: Esta é a operação para executar a versão: STS API Version TargetPrincipal: ID da conta da conta do membro TaskPolicyarn.arn: arn da política de políticas Durações: duração da sessão (até 900 segundos) (opcional) agora, vamos à aparência de algumas das tentativas. Solicitação de API via CURL Podemos atingir o terminal como uma API REST usando uma política personalizada? Curl “Digite o modo de tela cheia de tela de tela cheia, que resposta recebemos? Obtemos“ Solicitação está ausente de token de autenticação ”. Isso indica que as solicitações devem ser assinadas usando a AWS Signature versão 4 (SIGV4). Secrety Solicy com a Apertion Polices para definir a autenticação da autenticação, o tipo de solicitação, como a solicitação, que use o Postman, uma vez que os assinaturadores são definidos para a guia Autora e definir a autenticação e definir a autenticação e definir a autenticação da autenticação e definir a autentalização da autentalização da autenticação e definir a autenticação da autenticação e definir a autentalização da autenticação e definir a autentalização da autenticação e a autenticação para definir a autenticação da autenticação e definirá a autocomer a autocomática, como a solicitação, como a solicitação, que use os parâmetros de sinalização. A partir de uma conta de gerenciamento (não use credenciais raiz). Tempo, obteve o código de erro 403 como o recurso de gerenciamento de raiz, não foi ativado. ThensessionToken. Modo de tela cheia Full Modo de tela cheia Excluindo a política de balde de configuração incorreta agora que você configurou as credenciais temporárias no seu terminal, vamos prosseguir para excluir a política de balde de configuração errada. REFERÊNCIAS: Assumereroot Thankaarush luthra

Fonte