​​Policy Validation для IAM Access Analyzer:

https://aws.amazon.com/blogs/aws/iam-access-analyzer-update-policy-validation/

Теперь IAM Access Analyzer научился советовать, что ставить звёздочки в политиках опасно. Раньше для решения подобных проблем безопасности использовались сторонние утилиты типа Parliament, теперь же это нативный функционал, что не может не радовать.

#IAM #security

Demystifying AWS Identity:

https://www.youtube.com/watch?v=S1XbV7owFww

#IAM #video

Создание Least Privilege политик для выбранной роли на базе активности в CloudTrail logs теперь в AWS Console:

https://aws.amazon.com/blogs/security/iam-access-analyzer-makes-it-easier-to-implement-least-privilege-permissions-by-generating-iam-policies-based-on-access-activity/

You can now use IAM Access Analyzer to generate fine-grained policies, based on your access activity in your AWS CloudTrail logs. When you request a policy, IAM Access Analyzer gets to work and identifies your activity from CloudTrail logs to generate a policy. The generated policy grants only the required permissions for your workloads and makes it easier for you to implement least privilege permissions.

#IAM #security

IAM аттрибут sts:SourceIdentity для удобного определения пользователей, переключившихся из других ролей:

https://aws.amazon.com/blogs/security/how-to-relate-iam-role-activity-to-corporate-identity/

С помощью установки sts:SourceIdentity легко делать аудит логов CloudTrail, идентифицируя, например, пользователей из Active Directory (AD), посредством добавления какого-то поля из AD, которое будет присутствовать в логах для любой роли любого аккаунта (т.е. в том числе после переключения).

Документация:

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_control-access_monitor.html

#IAM #security

Как не забывать каждый год обновлять свои собственные сертификаты, когда они импортируются в IAM:

https://aws.amazon.com/blogs/security/how-to-monitor-expirations-of-imported-certificates-in-aws-certificate-manager-acm/

Although ACM provides managed renewals that automatically renew certificates in most cases, there are exceptions, such as imported certs, where an automatic renewal isn’t possible. This post provides you with two options for monitoring certificate expirations by using events and metrics that are published into Amazon CloudWatch by ACM. This data is used to produce notifications through Amazon Simple Notification Service (Amazon SNS) as well as to log and report the findings into AWS Security Hub.

#IAM

​​Python-библиотека для переключения в нужную IAM роль:

https://github.com/benkehoe/aws-assume-role-lib

Удобно использовать, когда нужно сделать что-то в многих аккаунтах Organizations. Пример использования:

https://gist.github.com/benkehoe/52fdbe425fcfc2675cd0ec2bb996257d

#IAM #Python

​​Кто виноват и что делать?

Наверняка все знают эту картинку (внизу поста). Кто не знает, обязательно стоит изучить, т.к. это база для понимания как работает доступ на AWS.

Когда возникает проблема доступа и вы получаете отлуп access denied от IAM, то проблема может быть результатом запрета доступа на любой из стадий с картинки (куда ещё нужно мысленно добавить политики S3 buckets и VPC endpoints).

И нет способа однозначно понять, кто же заблочил доступ, нужно держать в голове все варианты, итерационно перебирать, от того, что прописано в IAM до того, что доступно лишь админу на уровне Organizations - запрета от SCP.

Но теперь выход есть, то есть будет очень скоро!

https://aws.amazon.com/blogs/security/aws-introduces-changes-to-access-denied-errors-for-easier-permissions-troubleshooting/

Мы, наконец, сможем получать конкретный отчёт — что же стало результатом IAM access denied, в первой версии это будут следующие варианты:

🔹 SCP
🔹 Resource-based policies (S3 buckets, ECR, ES etc)
🔹 IAM permissions boundaries
🔹 Session policies
🔹 IAM policies
🔹 VPC endpoint policies

Очень круто, это огромное облегчение для дебага проблем доступа. Так долго ждал этого, как говорится, не прошло и десять лет! (а вот и нет - прошло 😄)

В общем, ждём сентября.

#IAM #SCP #debug

Худшие практики AWS IAM — ReadOnlyAccess:

https://posts.specterops.io/aws-readonlyaccess-not-even-once-ffbceb9fc908

Нужно помнить, что ReadOnlyAccess IAM Managed policy имеет избыточные права доступа к некоторым сервисам (из которых наиболее критичный - IAM), с помощью которых запросто можно поломать ваше окружение.

Не стоит воспринимать ReadOnlyAccess как какую-то "защиту", правильней рассматривать установку такого доступа как быстрое/временное решение, выдавая лишь в целях какого-то аудита, а не постоянного использования.

#IAM #security

​​Открытая база данных IAM политик:

https://permissions.cloud/

The permissions.cloud website uses a variety of information gathered within the IAM Dataset and exposes that information in a clean, easy-to-read format. It was built in order to provide an alternate, community-driven source of truth for AWS identity.

#IAM #security

AWS Authentication: Principals in AWS IAM

https://ben11kehoe.medium.com/principals-in-aws-iam-38c4a3dc322a

Лучшее, что читал по IAM аутентификции (да простит меня Карен), крайне рекомендую — ноль воды, чистые и современные (что важно) знания.

Сложно, но кратко и только по делу. Да и IAM — это, к сожалению, не про просто по определению. В закладки без вариантов.

#IAM