Non-null password_last_used for (được cho là không có mật khẩu) AWS root_account?
Khi tôi đang kiểm tra AWS IAM của một tổ chức, tôi đã thực hiện:
aws iam generate-credential-report
# a bit later, download the CSV
aws iam get-credential-report
Trong khi xem báo cáo, một điều khiến tôi rất ngạc nhiên bất thường: cột password_last_used cho không có giá trị trống :
Làm thế nào điều này thậm chí có thể xảy ra?
Tài khoản gốc IAM được cho là không có mật khẩu; ngay cả trong báo cáo này, password_enabled hiển thị not_supported .
Ý nghĩa của dữ liệu này là gì? Đây có thể là dấu hiệu của vi phạm?
Đây có phải là một số trục trặc AWS đã biết không? Tôi nên gửi email cho ai để giải quyết vấn đề này?
Я думаю, то, что вы видите, нормально.
Учетные записи root НЕ БЕЗ пароля . Вам обязательно понадобится пароль для входа в систему как root. Корневая учетная запись - это адрес электронной почты, который вы использовали при создании учетной записи. Он не отображается в IAM, т.е. вы не увидите учетную запись, указанную как root.
Что касается password_enabled , показывающего not_supported , это также нормально.
Когда пользователь имеет пароль, это значение ИСТИНА. В противном случае это ЛОЖЬ. Значение для учетной записи пользователя root AWS всегда not_supported.
Причина, по которой это not_supported , заключается в том, что у учетной записи root должен быть пароль для входа в консоль.
password_last_used данные, показывают, что учетная запись root использовалась вчера. Если вы или кто-то из вашей команды вчера не вошел в систему с учетной записью root, у вас есть возможность взлома. Я настоятельно рекомендую:
1) Использование MFA с учетной записью root 2) Настройте фильтр журнала CloudTrail для оповещения об использовании корневого ключа.
Используйте фильтр, аналогичный:
"filterPattern": "{ $.userIdentity.type = "Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType != "AwsServiceEvent" }"
Ссылки