Workload identity federation で EC2 インスタンスから ODBC ドライバーで Snowflake に接続してみた
https://dev.classmethod.jp/articles/workload-identity-federation-ec2-odbc-snowflake/
#IAM_Role
AWS Built a Security Tool. It Introduced a Security Risk.
LinkAWS 組織帳戶評估工具引發跨帳戶權限升級風險
https://aws-security-blog.example.com/article-account-assessment-risk
📌 Summary:
本文說明 AWS 自家開發的「Account Assessment for AWS Organizations」工具,原本設計用於協助企業集中管理、評估跨帳戶資源權限,目的是提升安全控管及審核效率。然而,AWS 官方部署指引中建議將樞紐(Hub)角色部署在非管理帳戶,使其必須部署於權限較低且安全性不足的開發或沙箱帳戶,反而形成一條從低安全性環境直達高敏感度帳戶(如生產與管理帳戶)的委任信任路徑,導致嚴重的跨帳戶權限升級風險。研究團隊透過真實案例發現此漏洞,解析角色權限、攻擊路徑,並指出該工具的角色命名方式可供攻擊者快速識別與利用。事後 AWS 收到回報即展開調整方案,於 2025 年 1 月修訂官方文件,明確要求樞紐角色必須部署在安全性與管理帳戶相當的高階帳戶。受影響組織需積極檢查並移除未按新指引配置的部署,避免權限升級及資料外洩風險。此事件凸顯即使是官方安全工具,若部署指引忽略實務安全面,也可能引入重大缺陷,提醒使用者需深刻理解信任關係實作,結合工具並加強控管,纔能有效降低跨帳戶安全風險。
🎯 Key Points:
→ 【案例發現】
- 調查中發現開發帳戶有樞紐角色可直接委任管理與生產帳戶角色,且擁有列出 IAM 角色、政策、祕密管理器(Secrets Manager)、S3 桶及 KMS 金鑰等敏感操作權限;
- 開發環境弱點讓攻擊者得以快速橫向移動至高權限環境,形成嚴重安全缺口。
→ 【漏洞根源】
- 工具採樞紐-輻射(hub-and-spoke)架構:樞紐角色在指定帳戶,輻射角色分佈於其它帳戶;
- AWS 官方指出「樞紐不可部署於管理帳戶」,推動用戶將樞紐置於權限較低帳戶,造成低安全性帳戶擁有高敏感度帳戶的委任路徑,產生明顯風險;
- 這不只增大攻擊面,也使攻擊者能輕易鑑別相關角色,增強攻擊效率。
→ 【解決方案與建議】
- AWS 於 2025 年 1 月更新文件,明確指示樞紐需部署於安全等級相當於管理帳戶的環境,例如專門的 DevOps 或基礎架構帳戶;
- 受影響組織應盡速覈查,利用 AWS 控制檯或 CLI 檢索角色名稱包含 "ScanSpokeResource" 或 "AccountAssessment-Spoke-ExecutionRole";
- 若部署時間早於 2025 年 1 月 28 日且樞紐位置位於低安全帳戶,建議卸載工具並重新配置樞紐角色於安全帳戶中;
- AWS 提供卸載指南,移除樞紐、輻射及組織管理相關 CloudFormation 堆疊,避免漏洞持續存在。
→ 【事件管理與溝通】
- 發現者於 2024 年 12 月報告 AWS,雙方積極合作,AWS 快速確認問題並推動文件修正,展現高度負責與回應效率;
- 本文最後強調,安全管控不僅需依賴工具,更需深入理解信任政策實作的風險點,持續提升防護策略。
🔖 Keywords:
#AWS #Account_Assessment_for_AWS_Organizations #跨帳戶權限升級 #IAM_Role #安全部署
AWS マネジメントコンソールのスイッチロールの履歴を一発で削除したい。
https://dev.classmethod.jp/articles/aws-management-console-switch-role-history-clear/
#dev_classmethod #AWS #AWSマネジメントコンソール #AWS_IAM #IAM_Role #Chrome拡張機能
複数の AWS アカウントに対して IAM ロールが特定のアクションを許可しているかどうか確認するシェルスクリプトを作成してみた
https://dev.classmethod.jp/articles/multi-account-iam-policy-simulator-script/
【企業セキュリティ】Google CloudのIAM構造を理解して、効率的なアクセス制御を理解する
https://dev.classmethod.jp/articles/google-cloud-iam-levels-explained/
IAM Policy Simulator を利用して AWS アカウント内の IAM ロールが特定のアクションをできるか確認してみた
https://dev.classmethod.jp/articles/output-whether-iam-roles-have-permission-for-specified-actions/
Lambda@Edgeが出力するログは2種類ある
https://dev.classmethod.jp/articles/lambda-edge-logs-role/
#dev_classmethod #Lambda_Edge #IAM_Role #CloudWatch_Logs #AWS
Amazon Personalizeでのデータインポートを成功させるためのS3バケットポリシー設定ガイド
https://dev.classmethod.jp/articles/amazon-personalize-s3/
#dev_classmethod #Amazon_Personalize #IAM_Policy #IAM_Role #Amazon_S3
AWS IAM Identity Center を使わないマルチアカウント環境のユーザー管理 #devio2024
https://dev.classmethod.jp/articles/multi-account-user-management/
#dev_classmethod #AWS_IAM #IAM_Role #AWS #Microsoft_Entra_ID
[レポート]IAM Roleの一時的な認証情報におけるアイデンティティフォレンジック #TDR444 #AWSreInforce
https://dev.classmethod.jp/articles/reinforce2024-report-tdr444/
#dev_classmethod #Amazon_Detective #Amazon_Neptune #AWS #re_Inforce_2024 #IAM_Role
การใช้งาน AWS CLI กับ Cloud9 ด้วย IAM Role
https://dev.classmethod.jp/articles/aws-cli-with-cloud9-with-iam-role/
#dev_classmethod #Classmethod_Thailand #Thai_Language #AWS #AWS_Thai #AWS_Cloud9 #IAM_Role #AWS_CLI
[Update] วิธีการอนุญาต IAM Role ใน Instance ที่สร้างใน Elastic Beanstalk
https://dev.classmethod.jp/articles/how-to-allow-iam-role-in-ec2-built-in-elastic-beanstalk-v2/
#dev_classmethod #Classmethod_Thailand #Thai_Language #AWS #AWS_Thai #AWS_Elastic_Beanstalk #IAM_Role
【小ネタ】サービスリンクロールとサービスロールを見分ける方法
https://dev.classmethod.jp/articles/iam-how-to-identify-service-linked-roles/
สร้าง Service role และ Instance profile ที่ใช้สำหรับ Elastic Beanstalk ใน IAM
https://dev.classmethod.jp/articles/service-role-and-instance-profile-used-for-elastic-beanstalk-in-iam/
#dev_classmethod #Classmethod_Thailand #Thai_Language #AWS #AWS_Thai #AWS_Elastic_Beanstalk #IAM_Role
Client Info
Server: https://mastodon.social
Version: 2025.07
Repository: https://github.com/cyevgeniy/lmst