Совместное использование AWS пользователя ARN

Question

Я хочу поделиться лямбда-слоем с кем-то, и поэтому я дам ему ARN, который будет содержать 12-значный идентификатор моего аккаунта AWS.

Есть ли риск, связанный с этим?

Answer 1

Хотя обычно не рекомендуется публиковать идентификатор вашей учетной записи (например, в вопросах StackOverflow), не страшно, если другие люди знают это.

Безопасность ваших служб AWS связана с учетными данными , а не с идентификатором учетной записи.

Знание идентификатора вашей учетной записи просто помогает атакам попытаться проверить вашу учетную запись, особенно если они знают некоторые из используемых вами служб. Например, они могут искать общедоступные очереди Amazon SQS, зная, что они принадлежат вашей учетной записи.

Если вы намеренно работаете с другими людьми, которые хотят подключиться к вашей учетной записи, вы, безусловно, можете поделиться ARN.

Answer 2

Я предполагаю, что вы доверяете группе, с которой вы разделяете Lamda ARN.

Риск предоставления идентификатора вашей учетной записи ограничен тем, какие разрешения вы предоставили для услуг.

В документации Идентификаторы учетной записи AWS указано, что:

Идентификатор учетной записи AWS представляет собой 12-значный номер, например 123456789012, который используется для создания имен ресурсов Amazon (ARN). Когда вы ссылаетесь на ресурсы, такие как пользователь IAM или хранилище Glacier, идентификатор учетной записи отличает ваши ресурсы от ресурсов других учетных записей AWS.

Кто-то, с кем вы поделились идентификатором учетной записи, мог манипулировать ARN, но без разрешения на доступ к этому ресурсу проблем нет.

Итог: если у вас есть жесткие элементы управления, которые ограничивают внешний доступ к ресурсам (в вашем случае, лямбда-уровень), у вас все будет хорошо.