如果用户不能直接访问私有数据或有权访问该私有数据的私有资源(例如ec2),但可以访问所有资源上的IAM pass角色,则可以创建一个具有以下内容的新资源(新ec2):提供对私有数据的访问权并获得对这些数据的访问权的现有角色(在ec2上)?
例如
DataA, DataA-Access-Role, DataA-Accessible-EC2Instance
现在,UserB无权访问DataA和DataA-Accessible-EC2Instance,但有权创建新的EC2实例并传递DataA-Access-Role。这是一个明显的漏洞吗?
谢谢。
答案 0 :(得分:1)
向用户授予iam:PassRole权限非常危险。
最好,此类权限应始终限制为它们可以传递的特定角色。
原因是用户可以创建使用该角色的Amazon EC2实例,因此他们将有效地获得与该角色相关联的权限。
有many articles on this topic可以建议减少此类暴露的方法。