Question

Может ли пользователь, не имеющий прямого доступа к частным данным или частному ресурсу (скажем, ec2), который имеет доступ к этим частным данным, но имеющий доступ к роли IAM pass на всех ресурсах, создать новый ресурс (новый ec2) с существующая роль (на ec2), которая обеспечивает доступ к частным данным и получает доступ к этим данным?

Например,

DataA, DataA-Access-Role, DataA-Accessible-EC2Instance

Теперь UserB не имеет доступа к DataA и DataA-Accessible-EC2Instance, но имел доступ для создания нового экземпляра EC2 и передачи DataA-Access-Role. Это чистая лазейка?

Спасибо.

John Rotenstein · Answer 1 · 24 марта 2020

Может быть очень опасно предоставлять iam:PassRole разрешения пользователям.

Предпочтительно, чтобы такие разрешения всегда были ограничены указанием c ролей , которые они могут передавать.

Причина в том, что пользователь может создать экземпляр Amazon EC2, использующий роль, поэтому он фактически получит разрешения, связанные с этой ролью.

В этой теме есть много статей c, в котором можно порекомендовать способы уменьшения такого воздействия.

Управление разрешениями AWS IAM Pass Role

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Управление разрешениями AWS IAM Pass Role

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы