Рейтинг:0

Проблема с использованием интерфейса командной строки AWS

флаг th

В нашем сценарии у нас ранее были некоторые ключи AWS. Интерфейс IAM показывает/не показывает его использование, но сотрудник смог загрузить ресурсы. Может ли кто-нибудь посоветовать, как проверить, ошибается ли интерфейс или они, возможно, не использовали эти учетные данные?

Запросы ATHENA, которые меня пробовали

ВЫБЕРИТЕ eventTime, eventName, userIdentity.principalId, eventSource
ИЗ афины-стола
ГДЕ useridentity.accesskeyid как «AKIAIOSFODNN7EXAMPLE»

ВЫБРАТЬ *
ИЗ афины-стола
ГДЕ useridentity.type = 'IAMUser'
AND useridentity.username LIKE 'Алиса';

В консоли IAM последнее действие отображается как «Никогда».

Мы удалим этого пользователя, но перед этим я хотел посмотреть, как она использует учетную запись без входа в систему. Есть ли лучший способ узнать это?

флаг cn
Дубликат: https://security.stackexchange.com/questions/260028/aws-iam-access-issue
Рейтинг:0
флаг cn

Отчет об учетных данных должен быть правильным способом исследовать это на облаке.

Вы можете заставить пользователя проверить, что у него есть в ~/.aws/config и ~/.aws/учетные данные чтобы подтвердить, какие учетные данные они используют.

Это выглядит так:

[имя профиля]
aws_access_key_id = КОРОТКАЯ СТРОКА
aws_secret_access_key = ДЛИННАЯ СТРОКА ИДЕТ ЗДЕСЬ С БОЛЬШИМ СИМВОЛОМ

Используйте отчет об учетных данных, чтобы узнать, когда пользователь IAM в последний раз использовал ключ доступа. Если это выглядит неправильно, вам может потребоваться покопаться в журналах CloudTrail, чтобы узнать, когда и где используется ключ.

Более фанатичным подходом было бы отозвать ключи доступа, пока кто-нибудь не накричит на вас: D

samtech 2021 avatar
флаг th
Спасибо, shearn89, у меня есть ключ доступа и секретный ключ, можете немного описать процедуру.
флаг cn
Готово, надеюсь, это укажет вам правильное направление!
samtech 2021 avatar
флаг th
Пробовал с журналом облачных следов и запросами Athena, но оба результата не показали.
samtech 2021 avatar
флаг th
shearn89, мы удалим этого пользователя, но перед этим я хотел посмотреть, как она использует учетную запись без регистрации.
samtech 2021 avatar
флаг th
В консоли IAM последнее действие отображается как «Никогда» для этого конкретного пользователя, но как этот пользователь использует учетную запись без регистрации. Каков ваш лучший совет по этому поводу? @shearn89.
флаг cn
Взгляните на ссылку и создайте полный отчет. Также просмотрите журналы cloudtrail для этого пользователя, чтобы увидеть, какой метод аутентификации он использует.
samtech 2021 avatar
флаг th
Возможно ли, что пользователь по-прежнему может иметь доступ к экземпляру с ролью, разрешающей загрузку?
флаг cn
Да, хороший момент. Если у них есть ключ SSH, они не отзываются из экземпляров при удалении пользователя.
samtech 2021 avatar
флаг th
Для этого конкретного пользователя пароль консоли отключен, ключи доступа неактивны, а ключи SSH не подключены, а в советнике по доступу отображается сообщение «Нет доступа в период отслеживания». к пользователю подключена следующая политика 1. S3-listAllBuckets 2. LinkUpBucketWriteOnly 3. S3-Editors
samtech 2021 avatar
флаг th
Я проверил политику корзины, прикрепленную к этому пользователю, показанную как «Доступ к корзине и объектам не общедоступным» в s3. Можете ли вы посоветовать мне, как продолжить дальнейшее расследование по этому поводу?
флаг cn
Возможно, вам следует обратиться в службу поддержки AWS за дополнительной информацией.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.