AWS Notes

Как не забывать каждый год обновлять свои собственные сертификаты, когда они импортируются в IAM:

https://aws.amazon.com/blogs/security/how-to-monitor-expirations-of-imported-certificates-in-aws-certificate-manager-acm/

Although ACM provides managed renewals that automatically renew certificates in most cases, there are exceptions, such as imported certs, where an automatic renewal isn’t possible. This post provides you with two options for monitoring certificate expirations by using events and metrics that are published into Amazon CloudWatch by ACM. This data is used to produce notifications through Amazon Simple Notification Service (Amazon SNS) as well as to log and report the findings into AWS Security Hub.

#IAM

Amazon

How to monitor expirations of imported certificates in AWS Certificate Manager (ACM) | Amazon Web Services

Certificates are vital to maintaining trust and providing encryption to internal or external facing infrastructure and applications. AWS Certificate Manager (ACM) provides certificate services to any workload that requires them. Although ACM provides managed…

1.34K views09:55

AWS Notes

Python-библиотека для переключения в нужную IAM роль:

https://github.com/benkehoe/aws-assume-role-lib

Удобно использовать, когда нужно сделать что-то в многих аккаунтах Organizations. Пример использования:

https://gist.github.com/benkehoe/52fdbe425fcfc2675cd0ec2bb996257d

#IAM #Python

1.36K views19:48

AWS Notes

Кто виноват и что делать?

Наверняка все знают эту картинку (внизу поста). Кто не знает, обязательно стоит изучить, т.к. это база для понимания как работает доступ на AWS.

Когда возникает проблема доступа и вы получаете отлуп access denied от IAM, то проблема может быть результатом запрета доступа на любой из стадий с картинки (куда ещё нужно мысленно добавить политики S3 buckets и VPC endpoints).

И нет способа однозначно понять, кто же заблочил доступ, нужно держать в голове все варианты, итерационно перебирать, от того, что прописано в IAM до того, что доступно лишь админу на уровне Organizations - запрета от SCP.

Но теперь выход есть, то есть будет очень скоро!

https://aws.amazon.com/blogs/security/aws-introduces-changes-to-access-denied-errors-for-easier-permissions-troubleshooting/

Мы, наконец, сможем получать конкретный отчёт — что же стало результатом IAM access denied, в первой версии это будут следующие варианты:

🔹 SCP
🔹 Resource-based policies (S3 buckets, ECR, ES etc)
🔹 IAM permissions boundaries
🔹 Session policies
🔹 IAM policies
🔹 VPC endpoint policies

Очень круто, это огромное облегчение для дебага проблем доступа. Так долго ждал этого, как говорится, не прошло и десять лет! (а вот и нет - прошло 😄)

В общем, ждём сентября.

#IAM #SCP #debug

1.29K viewsedited 09:56

AWS Notes

Худшие практики AWS IAM — ReadOnlyAccess:

https://posts.specterops.io/aws-readonlyaccess-not-even-once-ffbceb9fc908

Нужно помнить, что ReadOnlyAccess IAM Managed policy имеет избыточные права доступа к некоторым сервисам (из которых наиболее критичный - IAM), с помощью которых запросто можно поломать ваше окружение.

Не стоит воспринимать ReadOnlyAccess как какую-то "защиту", правильней рассматривать установку такого доступа как быстрое/временное решение, выдавая лишь в целях какого-то аудита, а не постоянного использования.

#IAM #security

Medium

AWS ReadOnlyAccess: Not Even Once

A story of too much access and a false sense of security.

1.19K views10:22

AWS Notes

Открытая база данных IAM политик:

https://permissions.cloud/

The permissions.cloud website uses a variety of information gathered within the IAM Dataset and exposes that information in a clean, easy-to-read format. It was built in order to provide an alternate, community-driven source of truth for AWS identity.

#IAM #security

4.35K views15:28

AWS Notes

AWS Authentication: Principals in AWS IAM

https://ben11kehoe.medium.com/principals-in-aws-iam-38c4a3dc322a

Лучшее, что читал по IAM аутентификции (да простит меня Карен), крайне рекомендую — ноль воды, чистые и современные (что важно) знания.

Сложно, но кратко и только по делу. Да и IAM — это, к сожалению, не про просто по определению. В закладки без вариантов.

#IAM

Medium

AWS Authentication: Principals in AWS IAM

This article explains the basics of AWS authentication: the way you gain an identity that you can use to access AWS services

1.62K viewsedited 16:52

AWS Notes

IAM Permissions Boundary на защите Лямбда инфраструктуры:

https://www.iampulse.com/t/control-the-blast-radius-of-your-lambda-functions-with-an-iam-permissions-boundary

▪️ Problem 1: IAM is hard and application developers aren’t IAM experts
▪️ Problem 2: Traditional organisational policy may disallow IAM role creation by application teams
An IAM permissions boundary allows us to get the best of both worlds:
▫️ Application team retains ownership of granular permissions in per-function roles and can ship independently 👍

▫️ Platform team can continue to enforce a maximum blast radius (equal to the EC2Application role) on the application, regardless of how developers specify their function policies 👍

#IAM #Lambda #security

1.44K views19:54

AWS Notes

Где нужно прописывать временные IAM credentials (не в ~/.aws/credentials) и почему:

https://ben11kehoe.medium.com/never-put-aws-temporary-credentials-in-env-vars-or-credentials-files-theres-a-better-way-25ec45b4d73e

Для работы с временными кредами нужно использовать переменную credential_process. Для случаев, где не работает credential_process, можно использовать авторскую утилиту https://github.com/benkehoe/aws-export-credentials либо на её базе сделать свою.

Очень полезный документ от Ben Kehoe (как и другие) по внутренностям работы IAM:

🔹 Principals and credentials
🔹 Assuming a role and using the credentials
🔹 Configuring and using named profiles
🔹 Assumed role profiles
🔹 AWS SSO profiles
🔹 Federated sign-in (AssumeRoleWithSAML)
🔹 credential_process
🔹 aws-export-credentials

Очень рекомендуется к прочтению для понимания IAM — это рафинированный опыт, практические знания, сложные, как и вся тема IAM, но при этом и самые важные.

Однозначно в закладки, причём те, что стоит постоянно держать перед глазами.

#IAM #security

Medium

Never put AWS temporary credentials in the credentials file (or env vars)—there’s a better way

Please, I’m begging you — learn about how the AWS CLI and SDK retrieve and refresh credentials. There are such good options!

1.73K views17:28

AWS Notes

0:10

This media is not supported in your browser

VIEW IN TELEGRAM

Leapp — утилита для переключения в мультиаккаунтной среде в один клик:

https://github.com/Noovolari/leapp

Утилита не новая, но в последней версии 0.7.4 добавилась поддержка AWS SSO, выглядит привлекательно, а потому стоит ознакомиться и попробовать.

Кроме AWS также работает с Azure.

#IAM #SSO #multi_account_strategy

👍1

2.55K viewsedited 19:33

AWS Notes

Самая главная диаграмма по IAM обновлена:

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html#policy-eval-denyallow

Были добавлены Session policies.

p.s. Важно отметить, что кажующаяся сложной диаграмма работы IAM в реальности не отражает настоящей сложности работы IAM. Для действительно полной картины поведения IAM обязательно требуется учитывать таблицу ниже её, где в подробностях перечисляются ситуации и поведение IAM, которые нельзя отразить на картинке.

#IAM

1.67K views21:01

AWS Notes

Всесторонний документ, почему IAM – это боль:

https://www.effectiveiam.com/

Очень полезен и для того, чтобы разобраться в том, как работает IAM, и для того, чтобы глубже понять проблемы настройки политик, и для того, чтобы шире взглянуть на то, почему это так проблематично вообще (спойлер – всё сложно, в прямом смысле этого слова).

Описываются подходы и для настройки IAM политик в рамках одного аккаунта, и для выстраивания процессов в рамках Organizations.

#IAM #security #best_practices

Effective IAM for AWS

Effective IAM for AWS: A guide to realize IAM best practices

Learn how to secure AWS with usable IAM architecture, policies, and automation that scales security best practices efficiently to all developers.

1.8K views06:43

AWS Notes

Weekly Summary on AWS (April 17-23)

🔸 ACK (AWS Controllers for Kubernetes) + EKS, ECR, DynamoDB, S3, Autoscaling and API Gateway v2 + GA 👀
🔸 Amazon Linux 2022 + ECS-optimized AMI
🔸 Amplify Geo for Android + GA
🔸 Amplify Studio + GA 💪
🔸 Athena + 10 new data sources 🔥
🔸 Aurora Serverless v2 + GA 🎉
🔸 Batch + dynamically update configuration
🔸 CloudFormation + 35 new resources
🔸 Connect + API for phone numbers
🔸 DevOps Guru Proactive Insights for Serverless Applications
🔸 EC2 Auto Scaling + default instance warm-up time
🔸 EKS + OpenTelemetry Operator addon
🔸 Glue
➖ Auto Scaling + GA
➖ Interactive Sessions + GA
➖ Glue Studio Detect PII + GA
➖ Glue Studio Job Notebooks + GA
🔸 IoT TwinMaker + GA 👍
🔸 Kendra
➖ Box Connector
➖ Quip Connector
🔸 Keyspaces + Spark Cassandra connector
🔸 KMS + HMAC 👀
🔸 Macie + discovering more types of sensitive data
🔸 Migration Hub Orchestrator
🔸 Neptune
➖ Free trial 👈
➖ IAM global condition keys
➖ openCypher GA
🔸 Personalize + starting and stopping recommender
🔸 PrivateLink + Batch
🔸 QuickSight + 1-click public embedding
🔸 RDS + Multi-AZ for Outposts
🔸 Redshift Audit Logging + CloudWatch
🔸 SageMaker Serverless Inference + GA
🔸 Security Hub + cross-Region security scores and compliance statuses
🔸 Step Functions + 20 new AWS SDK integrations
🔸 Textract + Queries

🔹 Corretto 18.0.1, 17.0.3, 11.0.15, and 8u332
🔹 Launch Wizard
➖ IIS
➖ Microsoft Exchange Server
🔹 MQ + ActiveMQ 5.16.4

#AWS_week

👍2

2.9K viewsTelepostBot, edited 19:26

AWS Notes

IAM Roles Anywhere: 🔥🔥🔥

https://aws.amazon.com/blogs/security/extend-aws-iam-roles-to-workloads-outside-of-aws-with-iam-roles-anywhere/

Huge update, don't miss it!

And this is not only for data centers, not only for accessing AWS services through a IAM role from Azure or Google. This means that you can now secure your computer via the TPM chip on the motherboard to the AWS IAM role. No credentials, impossible to steal, no need to log in. This is great!

#IAM

Amazon

Extend AWS IAM roles to workloads outside of AWS with IAM Roles Anywhere | Amazon Web Services

AWS Identity and Access Management (IAM) has now made it easier for you to use IAM roles for your workloads that are running outside of AWS, with the release of IAM Roles Anywhere. This feature extends the capabilities of IAM roles to workloads outside of…

🔥6👍3

3.73K viewsTelepostBot, 13:18

AWS Notes

AWS SSO переименовали в AWS IAM Identity Center, теперь это часть IAM сервиса.

https://aws.amazon.com/iam/identity-center/

IAM Identity Center helps you securely create, or connect, your workforce identities and manage their access centrally across AWS accounts and applications. IAM Identity Center is the recommended approach for workforce authentication and authorization in AWS, for organizations of any size and type.

Демо-видео:

https://www.youtube.com/watch?v=4yJp5-jGGNk

AWS SSO стал реально крутым и обязательным для использования сервисом, реализующим правильный подход к безопасности и получивший достаточный набор функционала, ранее присутстсвующий лишь в платных решениях.

Теперь же его инкарнация в виде IAM Identity Center предполагает в том числе продвижение #multi_account_strategy, становясь главным инструментом для входа через user portal.

p.s. Передаю пламенный привет создателям и студентам курсов по AWS сертификации - кому-то переделывать, а кому-то переучивать. 😁

#SSO #IAM

🔥14👍2👎1

2.84K views16:17

AWS Notes

IAM Roles, прикреплённые к виртуалкам, работают через EC2 Instance Profiles. Это даёт некоторую специфику, например, когда роль убирается у виртуалки, а она ещё некоторое время продолжает отрабатывать права, что были у виртуалки ранее с уже отсутствующей ролью.

Как это происходит и почему в деталях описано здесь:

https://www.uptycs.com/blog/aws-iam-roles-instance-profiles

AWS знает про такое поведение, так задумано. Короче —всё нормально, расходимся.

#IAM #EC2

Uptycs

An Unholy Marriage: AWS Instance Profile & IAM Role

Explore the intricate dynamics between AWS instance profile & IAM roles. Dive deep into quirks, behaviors & impact on EC2 instances for improved security.

👍13

2.59K views17:53

AWS Notes

📙 AWS IAM Actions:

https://www.awsiamactions.io/

Хорошая штука для реализации Principle of Least Privilege, уточнения ARN, осознания непостижимости IAM и просто для медитации.

Как-то писал про https://aws.permissions.cloud/ со сходным функционалом, но этот вариант выглядит более удобным.

#IAM

👍13❤3

2.82K views17:46

AWS Notes

Вдруг вы не заметили в AWS IAM Actions есть Generator:

https://www.awsiamactions.io/generator

В нём можно не только собрать нужную конструкцию политик в JSON, но и сразу же конвертировать это в Terraform и CloudFormation.

#IAM #Terraform #CloudFormation

🔥37👍1

2.9K views21:00

AWS Notes

Sensitive IAM Actions

https://github.com/primeharbor/sensitive_iam_actions

This repo contains a list of IAM Actions that fall into one of four risk categories:

• Credential Exposure
• Data Access
• Privilege Escalation
• Resource Exposure

#IAM #security

GitHub

GitHub - primeharbor/sensitive_iam_actions: Crowdsourced list of sensitive IAM Actions

Crowdsourced list of sensitive IAM Actions. Contribute to primeharbor/sensitive_iam_actions development by creating an account on GitHub.

👍8

1.93K views18:07

About

Blog

Apps

Platform