​​AWS SSO переименовали в AWS IAM Identity Center, теперь это часть IAM сервиса.

https://aws.amazon.com/iam/identity-center/

IAM Identity Center helps you securely create, or connect, your workforce identities and manage their access centrally across AWS accounts and applications. IAM Identity Center is the recommended approach for workforce authentication and authorization in AWS, for organizations of any size and type. 

Демо-видео:

https://www.youtube.com/watch?v=4yJp5-jGGNk

AWS SSO стал реально крутым и обязательным для использования сервисом, реализующим правильный подход к безопасности и получивший достаточный набор функционала, ранее присутстсвующий лишь в платных решениях.

Теперь же его инкарнация в виде IAM Identity Center предполагает в том числе продвижение #multi_account_strategy, становясь главным инструментом для входа через user portal.

p.s. Передаю пламенный привет создателям и студентам курсов по AWS сертификации - кому-то переделывать, а кому-то переучивать. 😁

#SSO #IAM

IAM Roles, прикреплённые к виртуалкам, работают через EC2 Instance Profiles. Это даёт некоторую специфику, например, когда роль убирается у виртуалки, а она ещё некоторое время продолжает отрабатывать права, что были у виртуалки ранее с уже отсутствующей ролью.

Как это происходит и почему в деталях описано здесь:

https://www.uptycs.com/blog/aws-iam-roles-instance-profiles

AWS знает про такое поведение, так задумано. Короче —всё нормально, расходимся.

#IAM #EC2

​​📙 AWS IAM Actions:

https://www.awsiamactions.io/

Хорошая штука для реализации Principle of Least Privilege, уточнения ARN, осознания непостижимости IAM и просто для медитации.

Как-то писал про https://aws.permissions.cloud/ со сходным функционалом, но этот вариант выглядит более удобным.

#IAM

​​Вдруг вы не заметили в AWS IAM Actions есть Generator:

https://www.awsiamactions.io/generator

В нём можно не только собрать нужную конструкцию политик в JSON, но и сразу же конвертировать это в Terraform и CloudFormation.

#IAM #Terraform #CloudFormation

Sensitive IAM Actions

https://github.com/primeharbor/sensitive_iam_actions

This repo contains a list of IAM Actions that fall into one of four risk categories:

• Credential Exposure
• Data Access
• Privilege Escalation
• Resource Exposure

#IAM #security

​​🆕 EKS Pod Identity или IRSA уходит на пенсию

https://aws.amazon.com/blogs/aws/amazon-eks-pod-identity-simplifies-iam-permissions-for-applications-on-amazon-eks-clusters/

Теперь вместо IRSA для выдачи IAM прав поду можно (нужно) использовать EKS Pod Identity:

1. Ставим add-on EKS Pod Identity.
2. Делаем IAM Role с pods.eks.amazonaws.com в trusted.
3. Мапим сделанную роль на нужный service account с помощью pod-identity-association (пока лишь в консоли или AWS CLI, ждём поддержки в IaC).

Отличия EKS Pod Identity от IRSA:
▫️ Нет OIDC.
▫️ Обычная IAM Role для всех кластеров.
▫️ Меньше нагрузка на ноду (How EKS Pod Identity works).

⚠️ Ограничения использования EKS Pod Identity:
▫️ Поддерживается с EKS 1.24+
▫️ Fargate, а также Windows-контейнеры не поддерживаются
▫️ Умеют лишь IRSA (как минимум пока): AWS Load Balancer Controller, амазоновские VPC CNI и CSI storage drivers (self-managed при этом работают)

#EKS #IAM

Диаграмма работы IAM в AWS с учётом RCP

RCP политики "самые главные" — проверяются раньше SCP. Их цель такая же, как у SCP, то есть что-то запретить.

Чтобы разрешить доступ, потребуется иметь разрешение на следующих IAM уровнях.

#RCP #IAM

Root access management

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-enable-root-access.html

С помощью Root access management можно централизованно на уровне всей организации выключить root-пользователей оптом сразу во всех под-аккаунтах.

Чтобы выполнить действия, требующие именно root-юзера, например, снятие неудачно применённой S3 bucket policy, то используем perform a privileged task. Когда можно переключиться из главного аккаунта в под-аккаунт в специальную "short-term" root-сессию.

Таким образом у вас (у нас) появляется официальная возможность послать всех безопасников с их проверками на root-пользователей нафиг упростить механизмы соответствия compliance требованиям.

P.S. Кто не может найти у себя такую картинку — это доступно только в главном (management) аккаунте или аккаунте delegated administrator for IAM.

#IAM #Organizations #root

RCP policy для защиты от переключения извне в любую IAM Role любого вашего AWS аккаунта вашей AWS Organization:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Principal": "*",
            "Action": "sts:AssumeRole",
            "Resource": "*",
            "Condition": {
                "StringNotEqualsIfExists": {
                    "aws:PrincipalOrgID": "o-012345aabb"
                },
                "BoolIfExists": {
                    "aws:PrincipalIsAWSService": "false"
                }
            }
        }
    ]
}

Данная RCP жёстко убивает любые попытки взломать любой ваш аккаунт на уровне IAM. В том числе возможности оставить себе "дырочку" ходить в свой аккаунт для уволившихся сотрудников через шаринг переключения в IAM Role из какого-то AWS аккаунта.

#RCP #IAM #security

Специально для счастливых обладателей нового Free Tier (заведённого после July 15, 2025):

НЕ следуйте рекомендациям в AWS Console по включению AWS Organizations для создания IAM Identity Center! Иначе ваш план автоматически будет проапгрейжен на платную версию (Paid plan).

Для включения IAM Identity Center используйте его отдельный инстанс в аккаунте. Для этого выбирайте вторую опцию мелким текстом.

P.S. Кто пропустил — можно создавать IAM Identity Center в отдельных аккаунтах кроме одного общего на AWS Organization:

https://docs.aws.amazon.com/singlesignon/latest/userguide/identity-center-instances.html

#FreeTier #organizations #IAM