Диаграмма работы IAM в AWS с учётом RCP

RCP политики "самые главные" — проверяются раньше SCP. Их цель такая же, как у SCP, то есть что-то запретить.

Чтобы разрешить доступ, потребуется иметь разрешение на следующих IAM уровнях.

#RCP #IAM

Root access management

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-enable-root-access.html

С помощью Root access management можно централизованно на уровне всей организации выключить root-пользователей оптом сразу во всех под-аккаунтах.

Чтобы выполнить действия, требующие именно root-юзера, например, снятие неудачно применённой S3 bucket policy, то используем perform a privileged task. Когда можно переключиться из главного аккаунта в под-аккаунт в специальную "short-term" root-сессию.

Таким образом у вас (у нас) появляется официальная возможность послать всех безопасников с их проверками на root-пользователей нафиг упростить механизмы соответствия compliance требованиям.

P.S. Кто не может найти у себя такую картинку — это доступно только в главном (management) аккаунте или аккаунте delegated administrator for IAM.

#IAM #Organizations #root

RCP policy для защиты от переключения извне в любую IAM Role любого вашего AWS аккаунта вашей AWS Organization:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Principal": "*",
            "Action": "sts:AssumeRole",
            "Resource": "*",
            "Condition": {
                "StringNotEqualsIfExists": {
                    "aws:PrincipalOrgID": "o-012345aabb"
                },
                "BoolIfExists": {
                    "aws:PrincipalIsAWSService": "false"
                }
            }
        }
    ]
}

Данная RCP жёстко убивает любые попытки взломать любой ваш аккаунт на уровне IAM. В том числе возможности оставить себе "дырочку" ходить в свой аккаунт для уволившихся сотрудников через шаринг переключения в IAM Role из какого-то AWS аккаунта.

#RCP #IAM #security

Специально для счастливых обладателей нового Free Tier (заведённого после July 15, 2025):

НЕ следуйте рекомендациям в AWS Console по включению AWS Organizations для создания IAM Identity Center! Иначе ваш план автоматически будет проапгрейжен на платную версию (Paid plan).

Для включения IAM Identity Center используйте его отдельный инстанс в аккаунте. Для этого выбирайте вторую опцию мелким текстом.

P.S. Кто пропустил — можно создавать IAM Identity Center в отдельных аккаунтах кроме одного общего на AWS Organization:

https://docs.aws.amazon.com/singlesignon/latest/userguide/identity-center-instances.html

#FreeTier #organizations #IAM

IAM temporary delegation 🎉

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-temporary-delegation.html

Теперь можно выдать нужные права временно (до 12 часов) без извращений с Лямбдами, удаляющими IAM User/Role через какое-то время.

#IAM

IAM + JWT = IAM Outbound Identity Federation 💪

https://aws.amazon.com/blogs/aws/simplify-access-to-external-services-using-aws-iam-outbound-identity-federation/

С помощью IAM теперь можно логиниться в любой другой сервис, поддерживающий JWT.

Для этого нужно включить Outbound Identity Federation в IAM и в результате STS сервис в аккаунте, где это включено, будет обслуживать его уникальный эндпоинт и стандартные /.well-known/openid-configuration и /.well-known/jwks.json.

По умолчанию STS генерит JWT токен, в котором есть claims для аккаунта, региона и роли:

{
  "aud": "my-app",
  "sub": "arn:aws:iam::ACCOUNT_ID:role/MyAppRole",
  "https://sts.amazonaws.com/": {
    "aws_account": "ACCOUNT_ID",
    "source_region": "us-east-1",
    "principal_id": "arn:aws:iam::ACCOUNT_ID:role/MyAppRole"
  },
  "iss": "https://abc12345-def4-5678-90ab-cdef12345678.tokens.sts.global.api.aws",
  "exp": 1759786941,
  "iat": 1759786041,
  "jti": "5488e298-0a47-4c5b-80d7-6b4ab8a4cede"
}

Но можно добавить организацию, тэги и прочее:

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_outbound_token_claims.html

Итого, нонче можно использовать IAM в любом JWT поддерживающем сервисе, что реально круто. 👍

#IAM #JWT