Puncte:0

Problemă de utilizare AWS CLI

drapel th

În scenariul nostru, anterior aveam câteva chei AWS. Interfața IAM nu a afișat/nu a arătat nicio utilizare, dar angajatul a putut să încarce resurse. Ar putea cineva să vă sfătuiască cum să verificați dacă interfața pur și simplu greșește sau dacă poate nu folosea aceste acreditări?

Interogările ATHENA Am fost încercat

SELECTează eventTime, eventName, userIdentity.principalId,eventSource
DE LA athena-masa
WHERE useridentity.accesskeyid ca „AKIAIOSFODNN7EXAMPLE”

SELECTAȚI *
DE LA athena-masa
WHERE useridentity.type = 'IAMUser'
AND useridentity.username LIKE 'Alice';

În Consola IAM Ultima activitate este afișată ca Niciodată.

Vom șterge acel utilizator, dar înainte de a face asta, am vrut să văd cum folosește ea contul fără a se conecta. Există o modalitate mai bună de a afla asta?

drapel cn
Duplicat: https://security.stackexchange.com/questions/260028/aws-iam-access-issue
Puncte:0
drapel cn

The Raport de acreditare ar trebui să fie modalitatea corectă de a investiga acest lucru la capătul cloud.

Puteți determina utilizatorul să verifice ce are ~/.aws/config și ~/.aws/acreditări pentru a confirma ce acreditări folosesc.

Arata cam asa:

[Numele profilului]
aws_access_key_id = SHORTERSTRING
aws_secret_access_key = LUNGERSTRINGGOESHEREWITHMORECHARS

Utilizați raportul de acreditări pentru a afla când utilizatorul IAM a folosit ultima dată o cheie de acces. Dacă arată greșit, atunci este posibil să fie nevoie să consultați jurnalele CloudTrail pentru a afla când/unde este folosită cheia.

Mai multă abordare ar fi să treci prin revocarea cheilor de acces până când cineva țipă la tine :D

samtech 2021 avatar
drapel th
Mulțumesc, shearn89, am o cheie de acces și o cheie secretă, puteți descrie puțin despre procedură.
drapel cn
Gata, sper să vă îndrepte în direcția cea bună!
samtech 2021 avatar
drapel th
Am încercat cu jurnalul de urmărire în cloud și cu interogări Athena, dar ambele au arătat rezultate fără rezultat.
samtech 2021 avatar
drapel th
shearn89, Vom șterge acel utilizator, dar înainte de a face asta, am vrut să văd cum folosește ea contul fără să se înregistreze.
samtech 2021 avatar
drapel th
În Consola IAM, Ultima activitate este afișată ca Niciodată pentru acel utilizator, dar cum folosește acel utilizator contul fără ca acesta să se înregistreze atunci. Care este cel mai bun sfat al tău în privința asta? @shearn89.
drapel cn
Aruncă o privire la link și generează un raport complet. De asemenea, aruncați o privire la jurnalele cloudtrail pentru acel utilizator pentru a vedea dacă puteți vedea ce metodă de autentificare utilizează.
samtech 2021 avatar
drapel th
Este posibil ca utilizatorul să aibă în continuare acces la o instanță care are un rol care permite încărcarea?
drapel cn
Da, un punct bun. Dacă au o cheie SSH, acestea nu sunt revocate din instanțe la ștergerea utilizatorului.
samtech 2021 avatar
drapel th
Pentru acel utilizator specific, parola Consolei este dezactivată, Cheile de acces sunt inactive și nicio cheie SSH nu este atașată, de asemenea, În Access Advisor arată Neaccesat în perioada de urmărire. utilizatorul are următoarea politică atașată 1. S3-listAllBuckets 2. LinkUpBucketWriteOnly 3. S3-Editors
samtech 2021 avatar
drapel th
,Am verificat cu Politica compartimentului atașată acelui utilizator afișată ca „Acces Bucket and objects not public” în s3. mă puteți sfătui cum să continui investigația ulterioară în acest sens?
drapel cn
Probabil că ar trebui să contactați AWS Support pentru mai multe informații.

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.