Score:0

ปัญหาการใช้งาน AWS CLI

ธง th

ในสถานการณ์ของเรา ก่อนหน้านี้เรามีคีย์ AWS บางตัว อินเทอร์เฟซ IAM แสดง/ไม่มีการใช้งาน แต่พนักงานสามารถอัปโหลดทรัพยากรได้ ใครช่วยแนะนำวิธีตรวจสอบว่าอินเทอร์เฟซผิดพลาดหรืออาจไม่ได้ใช้ข้อมูลประจำตัวเหล่านี้หรือไม่

แบบสอบถาม ATHENA ที่ฉันได้ลอง

เลือก eventTime, eventName, userIdentity.principalId, eventSource
จากตารางเอเธน่า
WHERE useridentity.accesskeyid เช่น 'AKIAIOSFODNN7EXAMPLE'

เลือก *
จากตารางเอเธน่า
โดยที่ useridentity.type = 'IAMUser'
และ useridentity.username เช่น 'Alice';

ใน IAM Console Last activity แสดงเป็น Never

เราจะลบผู้ใช้คนนั้น แต่ก่อนที่จะดำเนินการนั้น ฉันต้องการดูว่าเธอใช้บัญชีโดยไม่เข้าสู่ระบบอย่างไร มีวิธีที่ดีกว่าในการค้นหาสิ่งนี้หรือไม่?

cn flag
ทำซ้ำ: https://security.stackexchange.com/questions/260028/aws-iam-access-issue
Score:0
ธง cn

เดอะ รายงานข้อมูลประจำตัว ควรเป็นวิธีที่ถูกต้องในการตรวจสอบสิ่งนี้บนคลาวด์เอนด์

คุณสามารถให้ผู้ใช้ตรวจสอบสิ่งที่พวกเขามีอยู่ ~/.aws/config และ ~/.aws/ข้อมูลประจำตัว เพื่อยืนยันว่าพวกเขากำลังใช้ข้อมูลรับรองใดอยู่

ดูเหมือนว่า:

[ชื่อโปรไฟล์]
aws_access_key_id = สตริงสั้น
aws_secret_access_key = LONGERSTRINGGOESHEREWITTHMORECHARS

ใช้รายงานข้อมูลรับรองเพื่อดูว่าผู้ใช้ IAM ใช้คีย์การเข้าถึงครั้งล่าสุดเมื่อใด หากดูไม่ถูกต้อง คุณอาจต้องตรวจสอบบันทึกของ CloudTrail เพื่อดูว่ามีการใช้คีย์เมื่อใด/ที่ใด

วิธีการเพิ่มเติมคือการยกเลิกคีย์การเข้าถึงจนกว่าจะมีคนตะโกนใส่คุณ: D

samtech 2021 avatar
th flag
ขอบคุณ shearn89 ฉันมีรหัสการเข้าถึงและรหัสลับ คุณช่วยอธิบายขั้นตอนเล็กน้อยได้ไหม
cn flag
เสร็จแล้ว หวังว่านั่นจะชี้คุณไปในทิศทางที่ถูกต้อง!
samtech 2021 avatar
th flag
พยายามกับ cloud trail log และ Athena queries แต่ทั้งสองแสดงผลลัพธ์ที่ไม่มีผลลัพธ์
samtech 2021 avatar
th flag
shearn89 เราจะลบผู้ใช้รายนั้น แต่ก่อนที่จะดำเนินการ ฉันต้องการดูว่าเธอใช้บัญชีอย่างไรโดยไม่บันทึก
samtech 2021 avatar
th flag
ใน IAM Console กิจกรรมล่าสุดจะแสดงเป็น Never สำหรับผู้ใช้รายนั้น แต่ผู้ใช้รายนั้นใช้บัญชีโดยไม่บันทึกได้อย่างไร คำแนะนำที่ดีที่สุดของคุณคืออะไร? @shearn89.
cn flag
ดูที่ลิงก์และสร้างรายงานฉบับเต็ม ดูบันทึก cloudtrail สำหรับผู้ใช้รายนั้นด้วยเพื่อดูว่าคุณเห็นวิธีการตรวจสอบสิทธิ์ที่พวกเขาใช้อยู่หรือไม่
samtech 2021 avatar
th flag
เป็นไปได้ไหมที่ผู้ใช้อาจยังเข้าถึงอินสแตนซ์ที่มีบทบาทที่อนุญาตให้อัปโหลดได้
cn flag
ใช่จุดที่ดี หากมีคีย์ SSH คีย์เหล่านั้นจะไม่ถูกเพิกถอนจากอินสแตนซ์ในการลบผู้ใช้
samtech 2021 avatar
th flag
สำหรับรหัสผ่านคอนโซลของผู้ใช้รายนั้น จะถูกปิดใช้งาน คีย์การเข้าถึงไม่ได้ใช้งาน และไม่มีคีย์ SSH แนบมาด้วย ในโปรแกรมช่วยการเข้าถึงจะแสดง ไม่ได้เข้าถึงในช่วงเวลาการติดตาม ผู้ใช้มีนโยบายที่แนบมาดังต่อไปนี้ 1. S3-listAllBuckets 2. LinkUpBucketWriteOnly 3. S3-Editors
samtech 2021 avatar
th flag
ฉันได้ตรวจสอบกับนโยบายบัคเก็ตที่แนบมากับผู้ใช้นั้นซึ่งแสดงเป็น "Access Bucket and object not public" ใน s3 คุณช่วยแนะนำฉันเกี่ยวกับวิธีดำเนินการตรวจสอบเพิ่มเติมเกี่ยวกับเรื่องนี้ได้ไหม
cn flag
คุณควรติดต่อ AWS Support เพื่อขอข้อมูลเพิ่มเติม

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา