Quali sono i rischi legati all'inserimento di nomi di risorse Amazon (ARN) nei repository VCS?

0

I nomi delle risorse Amazon (ARN) identificano in modo univoco le risorse AWS. Amazon richiede un ARN quando è necessario specificare una risorsa in modo non ambiguo su tutti gli AWS, ad esempio nei criteri IAM, nei tag Amazon Relational Database Service (Amazon RDS) e nelle chiamate API.

Ecco alcuni esempi di ARN:

<!-- Elastic Beanstalk application version -->
arn:aws:elasticbeanstalk:us-east-1:123456789012:environment/My App/MyEnvironment

<!-- IAM user name -->
arn:aws:iam::123456789012:user/David

<!-- Amazon RDS instance used for tagging -->
arn:aws:rds:eu-west-1:123456789012:db:mysql-db

<!-- Object in an Amazon S3 bucket -->
arn:aws:s3:::my_corporate_bucket/exampleobject.png

La mia domanda: quali sono i rischi se questi tipi di informazioni sono resi disponibili su un sistema di controllo della versione come Bitbucket o Github?

    
posta Francis 05.07.2018 - 08:08
fonte

1 risposta

1

Probabilmente nessuno, a meno che tu non abbia utenti non sicuri.

Mi baso ampiamente sulla best practice di AWS , che ( 1) non dice nulla sulla protezione del proprio ID account e (2) incoraggia l'utilizzo dei ruoli per consentire l'accesso tra account. Poiché un ruolo ARN contiene l'ID account e non ti avvisano esplicitamente di condividere l'ARN con una parte fidata, è possibile presumere che l'ID account non sia molto prezioso.

Detto questo, l'ID account può essere utilizzato per accedere a una pagina di accesso specifica per il tuo account. Se hai utenti con nomi e password facili da indovinare, è possibile che la conoscenza del tuo ID account possa offrire agli aggressori un modo per sfruttare tali utenti. Non so come o se Amazon risponde ai tentativi di accesso di forza bruta, quindi anche questo potrebbe non essere un problema.

    
risposta data 05.07.2018 - 20:41
fonte

Leggi altre domande sui tag