Policy Validation для IAM Access Analyzer:
https://aws.amazon.com/blogs/aws/iam-access-analyzer-update-policy-validation/
Теперь IAM Access Analyzer научился советовать, что ставить звёздочки в политиках опасно. Раньше для решения подобных проблем безопасности использовались сторонние утилиты типа Parliament, теперь же это нативный функционал, что не может не радовать.
#IAM #security
https://aws.amazon.com/blogs/aws/iam-access-analyzer-update-policy-validation/
Теперь IAM Access Analyzer научился советовать, что ставить звёздочки в политиках опасно. Раньше для решения подобных проблем безопасности использовались сторонние утилиты типа Parliament, теперь же это нативный функционал, что не может не радовать.
#IAM #security
Создание Least Privilege политик для выбранной роли на базе активности в CloudTrail logs теперь в AWS Console:
https://aws.amazon.com/blogs/security/iam-access-analyzer-makes-it-easier-to-implement-least-privilege-permissions-by-generating-iam-policies-based-on-access-activity/
#IAM #security
https://aws.amazon.com/blogs/security/iam-access-analyzer-makes-it-easier-to-implement-least-privilege-permissions-by-generating-iam-policies-based-on-access-activity/
You can now use IAM Access Analyzer to generate fine-grained policies, based on your access activity in your AWS CloudTrail logs. When you request a policy, IAM Access Analyzer gets to work and identifies your activity from CloudTrail logs to generate a policy. The generated policy grants only the required permissions for your workloads and makes it easier for you to implement least privilege permissions.
#IAM #security
Amazon
IAM Access Analyzer makes it easier to implement least privilege permissions by generating IAM policies based on access activity…
In 2019, AWS Identity and Access Management (IAM) Access Analyzer was launched to help you remove unintended public and cross account access by analyzing your existing permissions. In March 2021, IAM Access Analyzer added policy validation to help you set…
IAM аттрибут
https://aws.amazon.com/blogs/security/how-to-relate-iam-role-activity-to-corporate-identity/
С помощью установки
Документация:
https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_control-access_monitor.html
#IAM #security
sts:SourceIdentity
для удобного определения пользователей, переключившихся из других ролей:https://aws.amazon.com/blogs/security/how-to-relate-iam-role-activity-to-corporate-identity/
С помощью установки
sts:SourceIdentity
легко делать аудит логов CloudTrail, идентифицируя, например, пользователей из Active Directory (AD), посредством добавления какого-то поля из AD, которое будет присутствовать в логах для любой роли любого аккаунта (т.е. в том числе после переключения).Документация:
https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_control-access_monitor.html
#IAM #security
Amazon
How to relate IAM role activity to corporate identity | Amazon Web Services
September 8, 2021: The post was updated to correct a typo about the CloudTrail log snippet. April 14, 2021: In the section “Use the SourceIdentity attribute with identity federation,” we updated “AWS SSO” to “sign-in endpoint” for clarity. AWS Security Token…
Как не забывать каждый год обновлять свои собственные сертификаты, когда они импортируются в IAM:
https://aws.amazon.com/blogs/security/how-to-monitor-expirations-of-imported-certificates-in-aws-certificate-manager-acm/
#IAM
https://aws.amazon.com/blogs/security/how-to-monitor-expirations-of-imported-certificates-in-aws-certificate-manager-acm/
Although ACM provides managed renewals that automatically renew certificates in most cases, there are exceptions, such as imported certs, where an automatic renewal isn’t possible. This post provides you with two options for monitoring certificate expirations by using events and metrics that are published into Amazon CloudWatch by ACM. This data is used to produce notifications through Amazon Simple Notification Service (Amazon SNS) as well as to log and report the findings into AWS Security Hub.
#IAM
Amazon
How to monitor expirations of imported certificates in AWS Certificate Manager (ACM) | Amazon Web Services
Certificates are vital to maintaining trust and providing encryption to internal or external facing infrastructure and applications. AWS Certificate Manager (ACM) provides certificate services to any workload that requires them. Although ACM provides managed…
Python-библиотека для переключения в нужную IAM роль:
https://github.com/benkehoe/aws-assume-role-lib
Удобно использовать, когда нужно сделать что-то в многих аккаунтах Organizations. Пример использования:
https://gist.github.com/benkehoe/52fdbe425fcfc2675cd0ec2bb996257d
#IAM #Python
https://github.com/benkehoe/aws-assume-role-lib
Удобно использовать, когда нужно сделать что-то в многих аккаунтах Organizations. Пример использования:
https://gist.github.com/benkehoe/52fdbe425fcfc2675cd0ec2bb996257d
#IAM #Python
Кто виноват и что делать?
Наверняка все знают эту картинку (внизу поста). Кто не знает, обязательно стоит изучить, т.к. это база для понимания как работает доступ на AWS.
Когда возникает проблема доступа и вы получаете отлуп access denied от IAM, то проблема может быть результатом запрета доступа на любой из стадий с картинки (куда ещё нужно мысленно добавить политики S3 buckets и VPC endpoints).
И нет способа однозначно понять, кто же заблочил доступ, нужно держать в голове все варианты, итерационно перебирать, от того, что прописано в IAM до того, что доступно лишь админу на уровне Organizations - запрета от SCP.
Но теперь выход есть, то есть будет очень скоро!
https://aws.amazon.com/blogs/security/aws-introduces-changes-to-access-denied-errors-for-easier-permissions-troubleshooting/
Мы, наконец, сможем получать конкретный отчёт — что же стало результатом IAM
🔹 SCP
🔹 Resource-based policies (S3 buckets, ECR, ES etc)
🔹 IAM permissions boundaries
🔹 Session policies
🔹 IAM policies
🔹 VPC endpoint policies
Очень круто, это огромное облегчение для дебага проблем доступа. Так долго ждал этого, как говорится, не прошло и десять лет! (а вот и нет - прошло 😄)
В общем, ждём сентября.
#IAM #SCP #debug
Наверняка все знают эту картинку (внизу поста). Кто не знает, обязательно стоит изучить, т.к. это база для понимания как работает доступ на AWS.
Когда возникает проблема доступа и вы получаете отлуп access denied от IAM, то проблема может быть результатом запрета доступа на любой из стадий с картинки (куда ещё нужно мысленно добавить политики S3 buckets и VPC endpoints).
И нет способа однозначно понять, кто же заблочил доступ, нужно держать в голове все варианты, итерационно перебирать, от того, что прописано в IAM до того, что доступно лишь админу на уровне Organizations - запрета от SCP.
Но теперь выход есть, то есть будет очень скоро!
https://aws.amazon.com/blogs/security/aws-introduces-changes-to-access-denied-errors-for-easier-permissions-troubleshooting/
Мы, наконец, сможем получать конкретный отчёт — что же стало результатом IAM
access denied
, в первой версии это будут следующие варианты: 🔹 SCP
🔹 Resource-based policies (S3 buckets, ECR, ES etc)
🔹 IAM permissions boundaries
🔹 Session policies
🔹 IAM policies
🔹 VPC endpoint policies
Очень круто, это огромное облегчение для дебага проблем доступа. Так долго ждал этого, как говорится, не прошло и десять лет! (а вот и нет - прошло 😄)
В общем, ждём сентября.
#IAM #SCP #debug
Худшие практики AWS IAM — ReadOnlyAccess:
https://posts.specterops.io/aws-readonlyaccess-not-even-once-ffbceb9fc908
Нужно помнить, что ReadOnlyAccess IAM Managed policy имеет избыточные права доступа к некоторым сервисам (из которых наиболее критичный - IAM), с помощью которых запросто можно поломать ваше окружение.
Не стоит воспринимать ReadOnlyAccess как какую-то "защиту", правильней рассматривать установку такого доступа как быстрое/временное решение, выдавая лишь в целях какого-то аудита, а не постоянного использования.
#IAM #security
https://posts.specterops.io/aws-readonlyaccess-not-even-once-ffbceb9fc908
Нужно помнить, что ReadOnlyAccess IAM Managed policy имеет избыточные права доступа к некоторым сервисам (из которых наиболее критичный - IAM), с помощью которых запросто можно поломать ваше окружение.
Не стоит воспринимать ReadOnlyAccess как какую-то "защиту", правильней рассматривать установку такого доступа как быстрое/временное решение, выдавая лишь в целях какого-то аудита, а не постоянного использования.
#IAM #security
Medium
AWS ReadOnlyAccess: Not Even Once
A story of too much access and a false sense of security.
Открытая база данных IAM политик:
https://permissions.cloud/
#IAM #security
https://permissions.cloud/
The permissions.cloud website uses a variety of information gathered within the IAM Dataset and exposes that information in a clean, easy-to-read format. It was built in order to provide an alternate, community-driven source of truth for AWS identity.
#IAM #security
AWS Authentication: Principals in AWS IAM
https://ben11kehoe.medium.com/principals-in-aws-iam-38c4a3dc322a
Лучшее, что читал по IAM аутентификции (да простит меня Карен), крайне рекомендую — ноль воды, чистые и современные (что важно) знания.
Сложно, но кратко и только по делу. Да и IAM — это, к сожалению, не про просто по определению. В закладки без вариантов.
#IAM
https://ben11kehoe.medium.com/principals-in-aws-iam-38c4a3dc322a
Лучшее, что читал по IAM аутентификции (да простит меня Карен), крайне рекомендую — ноль воды, чистые и современные (что важно) знания.
Сложно, но кратко и только по делу. Да и IAM — это, к сожалению, не про просто по определению. В закладки без вариантов.
#IAM
Medium
AWS Authentication: Principals in AWS IAM
This article explains the basics of AWS authentication: the way you gain an identity that you can use to access AWS services