<\/a>Introduction<\/h2>\nRoles\u00a0Anywhere est un service de gestion des acc\u00e8s lanc\u00e9 en 2022. Il permet aux workloads externes de s\u2019authentifier aupr\u00e8s d\u2019AWS \u00e0 l\u2019aide de certificats num\u00e9riques\u00a0X.509. Cette fonctionnalit\u00e9 \u00e9limine le besoin de g\u00e9n\u00e9rer et g\u00e9rer des identifiants \u00e0 long terme pour ces workloads, rendant ainsi les op\u00e9rations sur les API\u00a0cloud plus s\u00fbres et plus simples \u00e0 administrer dans les environnements\u00a0AWS.<\/p>\n
En d\u2019autres termes, le service Roles\u00a0Anywhere permet de d\u00e9finir quelles autorit\u00e9s de certification (CA) sont autoris\u00e9es \u00e0 valider les certificats des clients. Un certificat client sign\u00e9 par l\u2019une de ces CA peut \u00eatre utilis\u00e9 pour\u00a0:<\/p>\n
\n- s\u2019authentifier aupr\u00e8s d\u2019AWS<\/li>\n
- obtenir une identit\u00e9 cloud-native correspondante (sous forme d\u2019identifiants temporaires)<\/li>\n
- appeler les API\u00a0cloud d\u2019AWS comme d\u2019habitude, en signant les requ\u00eates \u00e0 l\u2019aide de ces identifiants temporaires<\/li>\n<\/ul>\n
<\/a>Composants et concepts cl\u00e9s<\/h2>\nLe processus d'authentification se compose de plusieurs \u00e9l\u00e9ments essentiels\u00a0:<\/p>\n
\n- Points d\u2019ancrage de confiance\u00a0:<\/strong> un point d\u2019ancrage de confiance est une ressource qui repr\u00e9sente le certificat d\u2019autorit\u00e9 de certification\u00a0(CA) dans Roles Anywhere. Lors de la cr\u00e9ation d\u2019un point d\u2019ancrage, un certificat\u00a0CA doit y \u00eatre associ\u00e9. Il existe deux types de point d\u2019ancrage de confiance\u00a0:\n
\n- Le certificat\u00a0ACM-PCA<\/strong> (AWS Certificate Manager \u2013\u00a0Private Certificate Authority), une ressource g\u00e9r\u00e9e par AWS.<\/li>\n
- Le bundle de certificats\u00a0:<\/strong> un certificat\u00a0X.509 encod\u00e9 au format\u00a0ASCII Privacy-Enhanced Mail (PEM), directement rattach\u00e9 au point d\u2019ancrage.<\/li>\n<\/ul>\n<\/li>\n
- Profils\u00a0:<\/strong> ces ressources d\u00e9terminent le niveau d\u2019acc\u00e8s accord\u00e9 \u00e0 une entit\u00e9 authentifi\u00e9e via Roles\u00a0Anywhere. Chaque profil est associ\u00e9 \u00e0 des r\u00f4les\u00a0IAM (gestion et acc\u00e8s des identit\u00e9s) qui d\u00e9finissent les autorisations, ainsi qu\u2019\u00e0 des m\u00e9canismes suppl\u00e9mentaires permettant d\u2019affiner ces droits d\u2019acc\u00e8s.<\/li>\n
- R\u00f4les\u00a0IAM\u00a0:<\/strong> ces r\u00f4les sont associ\u00e9s aux v\u00e9ritables politiques\u00a0IAM, qui octroient (ou restreignent) les autorisations d\u2019acc\u00e8s aux ressources\u00a0AWS.<\/li>\n<\/ul>\n
![\"Diagramme]()
Figure 1 : Vue d\u00e9taill\u00e9e du processus d'authentification.<\/figcaption><\/figure>\nEn pratique, l\u2019authentification via Roles\u00a0Anywhere s\u2019effectue en envoyant une requ\u00eate vers le terminal \/sessions<\/span>. Cette requ\u00eate est sign\u00e9e \u00e0 l\u2019aide de la cl\u00e9 priv\u00e9e du certificat et inclut, comme param\u00e8tres, l\u2019Amazon\u00a0Resource\u00a0Name (ARN) de l\u2019ancrage de confiance (Trust\u00a0Anchor), ainsi que les ARN du profil et du r\u00f4le.<\/p>\nLa mani\u00e8re la plus simple de composer cette requ\u00eate consiste \u00e0 utiliser l\u2019outil aws_signing_helper<\/a><\/span>. Cet utilitaire automatise le processus d\u2019authentification et peut \u00e9galement rendre les identifiants disponibles localement en \u00e9mulant le terminal de l\u2019Instance Metadata Service, \u00e0 l\u2019image du fonctionnement des instances\u00a0Amazon Elastic Compute Cloud (EC2).<\/p>\nLa figure 2 pr\u00e9sente des exemples de requ\u00eates et de r\u00e9ponses dans le cadre de l\u2019authentification avec Roles\u00a0Anywhere.<\/p>\n![\"Capture]()
Figure 2. Exemples de requ\u00eates et de r\u00e9ponses lors de l\u2019authentification via Roles Anywhere.<\/figcaption><\/figure>\n<\/a>Utilisation courante de Roles\u00a0Anywhere<\/h3>\nPour mieux comprendre le processus de configuration de Roles\u00a0Anywhere, prenons l\u2019exemple suivant\u00a0:<\/p>\n
\n- Un pod\u00a0Kubernetes situ\u00e9 en dehors d\u2019AWS a besoin d\u2019un acc\u00e8s pour lire des objets dans un bucket\u00a0Amazon\u00a0S3.<\/li>\n
- L\u2019ing\u00e9nieur\u00a0cloud \u00e9met un certificat et le signe \u00e0 l\u2019aide du certificat du point d\u2019ancrage de confiance. Le certificat sign\u00e9 est ensuite stock\u00e9 dans le pod, avec sa cl\u00e9 priv\u00e9e.<\/li>\n
- L\u2019ing\u00e9nieur cr\u00e9e un r\u00f4le\u00a0IAM comprenant les autorisations\u00a0S3 n\u00e9cessaires et l\u2019associe \u00e0 un profil Roles\u00a0Anywhere.<\/li>\n
- Le pod\u00a0Kubernetes peut alors utiliser le certificat, ainsi que les identifiants li\u00e9s au r\u00f4le et la cl\u00e9 priv\u00e9e, pour signer les requ\u00eates, s\u2019authentifier et lire les objets du bucket\u00a0S3 configur\u00e9.<\/li>\n<\/ul>\n
<\/a>S\u00e9curisation du processus d\u2019authentification par d\u00e9faut<\/h2>\nUn aspect int\u00e9ressant de ce processus d\u2019authentification r\u00e9side dans le fait qu\u2019il n\u2019existe, par d\u00e9faut, aucune corr\u00e9lation entre une ancre de confiance et un profil sp\u00e9cifique. Il est essentiel que les organisations comprennent les risques associ\u00e9s \u00e0 cette configuration et configurentcorrectement les ressources Roles\u00a0Anywhere ainsi que les politiques de confiance des r\u00f4les\u00a0IAM.<\/p>\n
Autrement dit, les organisations doivent veiller \u00e0 ce que chaque certificat client soit sign\u00e9 par une ancre de confiance sp\u00e9cifique et destin\u00e9 \u00e0 un profil bien d\u00e9fini. Cela permet d\u2019emp\u00eacher tout acc\u00e8s non autoris\u00e9 \u00e0 d\u2019autres profils ou ancres de confiance au sein du m\u00eame compte\u00a0AWS et de la m\u00eame r\u00e9gion.<\/p>\n
Pour illustrer les cons\u00e9quences potentielles de ce processus, reprenons l\u2019exemple du pod mentionn\u00e9 pr\u00e9c\u00e9demment. Jusqu\u2019ici, les \u00e9tapes suivies sont l\u00e9gitimes. Le pod dispose exactement des autorisations dont il a besoin, ni plus ni moins.<\/p>\n
Mais que se passerait-il si un attaquant parvenait \u00e0 acc\u00e9der au pod\u00a0? Si d'autres profils ont \u00e9t\u00e9 cr\u00e9\u00e9s dans le m\u00eame compte et la m\u00eame r\u00e9gion\u00a0AWS, l'attaquant pourrait utiliser le certificat pour obtenir un acc\u00e8s aux r\u00f4les associ\u00e9s \u00e0 ces profils\u00a0:<\/p>\n
\n- L\u2019attaquant pourrait d\u00e9duire les ARN d\u2019un autre r\u00f4le\u00a0IAM rattach\u00e9 au m\u00eame profil, ou bien les ARN et les r\u00f4les associ\u00e9s \u00e0 un autre profil. D\u00e9duire ces ARN est une op\u00e9ration complexe qui n\u00e9cessite des autorisations suppl\u00e9mentaires dans l\u2019environnement\u00a0AWS. Nous aborderons ces techniques plus loin dans l\u2019article.<\/a><\/li>\n
- Une fois toutes les informations n\u00e9cessaires r\u00e9unies, l\u2019attaquant peut formuler des requ\u00eates afin d\u2019obtenir des identifiants temporaires pour diff\u00e9rents r\u00f4les, et exploiter leurs autorisations pour mener des op\u00e9rations malveillantes.<\/li>\n<\/ul>\n
AWS propose plusieurs moyens<\/a> de restreindre l\u2019acc\u00e8s via Roles\u00a0Anywhere, notamment en utilisant des conditions<\/strong> dans la politique de confiance du r\u00f4le. Toutefois, la politique de confiance par d\u00e9faut de Roles Anywhere ne comporte aucune condition dans sa d\u00e9claration<\/strong>. Cela signifie que tout environnement utilisant cette configuration par d\u00e9faut ne b\u00e9n\u00e9ficie d\u2019aucune restriction d\u2019acc\u00e8s. Il incombe donc \u00e0 chaque organisation de s\u2019assurer qu\u2019elle ne repose pas sur les param\u00e8tres par d\u00e9faut pour la configuration de Roles\u00a0Anywhere.<\/p>\nLors de la cr\u00e9ation d\u2019un r\u00f4le par d\u00e9faut utilis\u00e9 pour Roles\u00a0Anywhere, la politique de confiance suivante est d\u00e9finie\u00a0:<\/p>\n
{\r\n\r\n\"Version\": \"2012-10-17\",\r\n\r\n\"Statement\": [\r\n\r\n{\r\n\r\n\"Sid\": \"\",\r\n\r\n\"Effect\": \"Allow\",\r\n\r\n\"Principal\": {\r\n\r\n\"Service\": \"rolesanywhere.amazonaws.com\"\r\n\r\n},\r\n\r\n\"Action\": [\r\n\r\n\"sts:AssumeRole\",\r\n\r\n\"sts:SetSourceIdentity\",\r\n\r\n\"sts:TagSession\"\r\n\r\n]\r\n\r\n}\r\n\r\n]\r\n\r\n}<\/pre>\nCette politique indique que ce r\u00f4le peut \u00eatre assum\u00e9 par le service Roles\u00a0Anywhere.<\/strong> Cependant, elle ne comporte aucune autre restriction quant aux sources autoris\u00e9es \u00e0 l\u2019assumer. Cela signifie que si un r\u00f4le est associ\u00e9 \u00e0 un profil, tout certificat sign\u00e9 par un ancrage de confiance dans la m\u00eame r\u00e9gion peut assumer ce r\u00f4le.<\/p>\nPour rem\u00e9dier \u00e0 cela, AWS a introduit la section\u00a0Condition dans les politiques. Cette section permet d\u2019imposer des restrictions suppl\u00e9mentaires aux ressources, en sp\u00e9cifiant les exigences qu\u2019elles doivent remplir pour pouvoir ex\u00e9cuter une action donn\u00e9e.<\/p>\n
La politique suivante ajoute une section\u00a0Condition \u00e0 la politique par d\u00e9faut, afin de restreindre l\u2019acc\u00e8s au r\u00f4le via l\u2019authentification Roles\u00a0Anywhere uniquement \u00e0 partir d\u2019une autorit\u00e9 de confiance sp\u00e9cifique.<\/p>\n
{\r\n\r\n\"Version\": \"2012-10-17\",\r\n\r\n\"Statement\": [\r\n\r\n{\r\n\r\n\"Sid\": \"\",\r\n\r\n\"Effect\": \"Allow\",\r\n\r\n\"Principal\": {\r\n\r\n\"Service\": \"rolesanywhere.amazonaws.com\"\r\n\r\n},\r\n\r\n\"Action\": [\r\n\r\n\"sts:AssumeRole\",\r\n\r\n\"sts:SetSourceIdentity\",\r\n\r\n\"sts:TagSession\"\r\n\r\n],\r\n\r\n\"Condition\": {\r\n\r\n\"ArnEquals\": {\r\n\r\n\"aws:SourceArn\": [\r\n\r\n\"arn:aws:rolesanywhere:region:account:trust-anchor\/TA_ID\"\r\n\r\n]\r\n\r\n}\r\n\r\n}\r\n\r\n}\r\n\r\n]\r\n\r\n}<\/pre>\nPour restreindre encore davantage l\u2019acc\u00e8s des certificats sign\u00e9s, nous recommandons d\u2019utiliser la fonctionnalit\u00e9 de mappage des attributs de certificat<\/strong>. AWS recommande \u00e9galement cette approche dans la documentation de Roles Anywhere<\/a>\u00a0:<\/p>\n![\"Notification]()
Figure 3. Recommandation d\u2019AWS pour l\u2019utilisation du mappage d'attributs.<\/figcaption><\/figure>\nConcr\u00e8tement, il est possible d\u2019associer les attributs d\u2019un certificat \u00e0 des valeurs qui seront \u00e9valu\u00e9es dans la politique de confiance. On peut ainsi restreindre l\u2019acc\u00e8s \u00e0 des r\u00f4les en fonction du nom commun (Common Name), de l\u2019unit\u00e9 d\u2019organisation ou de tout autre attribut pr\u00e9sent dans le certificat.<\/p>\n
Cette approche est vivement recommand\u00e9e, car elle permet de garantir que, m\u00eame si une ressource utilisant Roles\u00a0Anywhere pour s\u2019authentifier est compromise, elle ne pourra pas acc\u00e9der \u00e0 d\u2019autres r\u00f4les.<\/p>\n
La condition suivante combine la restriction par ancrage de confiance mentionn\u00e9e pr\u00e9c\u00e9demment avec une limitation d\u2019acc\u00e8s fond\u00e9e sur les attributs du certificat\u00a0:<\/p>\n
\"Condition\": {\r\n\r\n\"ArnEquals\": {\r\n\r\n\"aws:SourceArn\": [\r\n\r\n\"arn:aws:rolesanywhere:region:account:trust-anchor\/TA_ID\"\r\n\r\n]\r\n\r\n},\r\n\r\n\"StringEquals\": {\r\n\r\n\"aws:PrincipalTag\/x509Subject\/CN\": \"COMMON_NAME\"\r\n\r\n}\r\n\r\n}<\/pre>\nComme pour tout autre service, le principe du moindre privil\u00e8ge doit \u00eatre appliqu\u00e9 lors de la mise en place de l\u2019infrastructure Roles\u00a0Anywhere. L\u2019utilisation du mappage des attributs du certificat permet de le mettre en \u0153uvre efficacement.<\/p>\n
<\/a>La perspective de l\u2019attaquant<\/h2>\n<\/a>Sc\u00e9nario n\u00b01 \u2013\u00a0Utilisation de certificats et de cl\u00e9s priv\u00e9es valides par un attaquant<\/h3>\nComme indiqu\u00e9 pr\u00e9c\u00e9demment, les \u00e9l\u00e9ments suivants sont n\u00e9cessaires pour s\u2019authentifier via Roles\u00a0Anywhere\u00a0:<\/p>\n
\n- Le certificat client<\/li>\n
- La cl\u00e9 priv\u00e9e associ\u00e9e au certificat client<\/li>\n
- L\u2019ARN de l\u2019ancrage de confiance ayant sign\u00e9 le certificat<\/li>\n
- L\u2019ARN d\u2019un profil situ\u00e9 dans la m\u00eame r\u00e9gion<\/li>\n
- L\u2019ARN d\u2019un r\u00f4le IAM attach\u00e9 \u00e0 ce profil<\/li>\n<\/ul>\n
Dans le sc\u00e9nario suivant, un attaquant compromet une configuration par d\u00e9faut de Roles\u00a0Anywhere en s\u2019emparant d\u2019un certificat\u00a0client utilis\u00e9 pour l\u2019authentification, ainsi que de sa cl\u00e9 priv\u00e9e. Pour exploiter cette configuration par d\u00e9faut \u00e0 des fins malveillantes et acc\u00e9der \u00e0 d\u2019autres r\u00f4les dans le compte, l\u2019attaquant doit encore d\u00e9couvrir les ARN des ressources concern\u00e9es afin de pouvoir s\u2019authentifier aupr\u00e8s d\u2019AWS. Or, obtenir ces ARN n\u2019est pas une t\u00e2che facile\u00a0: cela n\u00e9cessite des privil\u00e8ges suppl\u00e9mentaires et ind\u00e9pendants au sein du compte.<\/p>\n
Les techniques suivantes peuvent \u00eatre utilis\u00e9es pour obtenir ces informations\u00a0:<\/p>\n
Utilisation des actions de Roles Anywhere: <\/strong>Un attaquant ayant obtenu des autorisations suffisantes sur le service Roles\u00a0Anywhere peut tout simplement ex\u00e9cuter des actions permettant de r\u00e9cup\u00e9rer les ARN n\u00e9cessaires. Il peut, par exemple, utiliser les actions list-trust-anchors<\/span> et list-profiles<\/span>, qui requi\u00e8rent respectivement les autorisations rolesanywhere:ListTrustAnchors<\/span> et rolesanywhere:ListProfiles<\/span>. La sortie de ces commandes fournit tous les ARN requis pour formuler une requ\u00eate d\u2019authentification, puisque la commande list-profiles<\/span> retourne \u00e9galement tous les r\u00f4les associ\u00e9s au profil.<\/p>\nExploitation des donn\u00e9es des journaux: <\/strong>CloudTrail<\/a> est le principal m\u00e9canisme de journalisation d'AWS. Un attaquant disposant d\u2019un acc\u00e8s ind\u00e9pendant aux journaux\u00a0CloudTrail (ou aux services de stockage qui les h\u00e9bergent) pourrait identifier des \u00e9l\u00e9ments cr\u00e9\u00e9s par le service Roles\u00a0Anywhere. Certains journaux\u00a0CloudTrail contiennent en effet tous les ARN n\u00e9cessaires au processus d\u2019authentification. Les \u00e9v\u00e9nements g\u00e9n\u00e9r\u00e9s par plusieurs actions du service Roles\u00a0Anywhere r\u00e9v\u00e8lent ces ARN dans les journaux.<\/p>\nLe journal le plus pertinent est CreateSession<\/span>. Il est g\u00e9n\u00e9r\u00e9 lorsque le service Roles\u00a0Anywhere est utilis\u00e9 pour l\u2019authentification, c\u2019est-\u00e0-dire lorsqu\u2019il cr\u00e9e des informations d\u2019identification temporaires et les envoie \u00e0 l\u2019utilisateur. La figure\u00a03 montre un exemple d\u2019entr\u00e9e de journal CreateSession<\/span> et met en \u00e9vidence l\u2019ARN associ\u00e9.<\/p>\n![\"Capture]()
Figure 4. Journal CloudTrail de l\u2019action CreateSession<\/span>.<\/figcaption><\/figure>\nLes ARN d\u2019un point d\u2019ancrage de confiance, d\u2019un profil et de l\u2019un des r\u00f4les qui lui sont associ\u00e9s apparaissent dans ce journal d\u2019\u00e9v\u00e9nement. Si le certificat de l\u2019attaquant a \u00e9t\u00e9 sign\u00e9 par le point d\u2019ancrage indiqu\u00e9 dans le journal, il pourra l\u2019utiliser pour s\u2019authentifier.<\/p>\n
La figure\u00a05 pr\u00e9sente une illustration d\u00e9taill\u00e9e des \u00e9tapes suivies par l\u2019attaquant.<\/p>\n![\"Diagramme]()
Figure 5. Vue d'ensemble des \u00e9tapes suivies par l\u2019attaquant.<\/figcaption><\/figure>\n<\/a>Sc\u00e9nario\u00a0n\u00b0\u00a02 \u2013\u00a0Exploitation de permissions directes sur le service Roles\u00a0Anywhere<\/h3>\nUn autre sc\u00e9nario dans lequel une configuration par d\u00e9faut du service Roles\u00a0Anywhere peut \u00eatre exploit\u00e9e survient lorsqu\u2019un attaquant acc\u00e8de \u00e0 une identit\u00e9 disposant de permissions sur ce service. Ces autorisations peuvent \u00eatre accord\u00e9es via une instruction\u00a0Allow<\/span> directe sur le service, ou de mani\u00e8re indirecte \u00e0 travers un \u00e9l\u00e9ment\u00a0NotAction<\/span>.<\/p>\nLes \u00e9tapes suivantes peuvent \u00eatre utilis\u00e9es pour exploiter ces permissions\u00a0:<\/p>\n
\n- L\u2019attaquant acc\u00e8de \u00e0 une identit\u00e9 disposant d\u2019une configuration et de permissions par d\u00e9faut sur le service Roles\u00a0Anywhere.<\/li>\n
- Il cr\u00e9e deux certificats -\u00a0un certificat d\u2019autorit\u00e9 de certification (CA) et un certificat client\u00a0- puis utilise le certificat CA pour signer le certificat client. \u00c9tant \u00e0 l\u2019origine de la cr\u00e9ation, l\u2019attaquant d\u00e9tient \u00e9galement les cl\u00e9s priv\u00e9es associ\u00e9es \u00e0 ces certificats.<\/li>\n
- L\u2019attaquant utilise l\u2019identit\u00e9 compromise pour cr\u00e9er un point d\u2019ancrage de confiance et y associe le certificat\u00a0CA.<\/li>\n
- Gr\u00e2ce aux permissions de type \u00ab\u00a0list\u00a0\u00bb sur le service Roles\u00a0Anywhere, il r\u00e9cup\u00e8re les ARN des profils et des r\u00f4les\u00a0IAM.<\/li>\n
- En combinant ces ARN, le certificat client et sa cl\u00e9 priv\u00e9e, l\u2019attaquant proc\u00e8de \u00e0 l\u2019authentification via Roles\u00a0Anywhere.<\/li>\n
- Si la politique de confiance du r\u00f4le\u00a0IAM refuse l\u2019acc\u00e8s, l\u2019attaquant peut consulter les \u00ab\u00a0Subjects\u00a0\u00bb Roles\u00a0Anywhere pour identifier les d\u00e9tails d\u2019un certificat pr\u00e9c\u00e9demment utilis\u00e9 pour l\u2019authentification, puis reproduire ses champs dans un nouveau certificat client.<\/li>\n<\/ul>\n
Plus pr\u00e9cis\u00e9ment, un attaquant disposant de permissions suffisantes sur Roles\u00a0Anywhere peut cr\u00e9er un certificat, le signer avec son propre certificat\u00a0CA, puis l\u2019associer \u00e0 une nouvelle ancre de confiance ou \u00e0 une ancre existante. Cela n\u00e9cessite les permissions rolesanywhere:CreateTrustAnchor<\/span> ou rolesanywhere:UpdateTrustAnchor<\/span>.<\/p>\n\u00c9tant donn\u00e9 que l\u2019attaquant contr\u00f4le \u00e0 la fois le certificat client et le certificat\u00a0CA, le certificat sera consid\u00e9r\u00e9 comme valide. L\u2019\u00e9tape suivante consiste \u00e0 identifier les profils et les r\u00f4les disponibles en utilisant la commande list-profiles<\/span> du service Roles\u00a0Anywhere ou l\u2019une des autres techniques \u00e9voqu\u00e9es pr\u00e9c\u00e9demment.<\/p>\nAvec ces informations, l\u2019attaquant peut g\u00e9n\u00e9rer des identifiants via Roles\u00a0Anywhere et effectuer des op\u00e9rations dans le contexte du r\u00f4le utilis\u00e9.<\/p>\n
Si les mesures de s\u00e9curit\u00e9 de l\u2019organisation cibl\u00e9e ne d\u00e9tectent pas l\u2019activit\u00e9 malveillante, ce processus peut \u00e9galement servir de vecteur de persistance\u00a0: l\u2019ancre de confiance permet en effet de g\u00e9n\u00e9rer des identifiants valides tant que le probl\u00e8me n\u2019est pas corrig\u00e9.<\/p>\n
<\/a>Mesures d\u2019att\u00e9nuation et recommandations<\/h2>\n\n- Nous recommandons vivement d\u2019ajouter des conditions \u00e0 la politique de confiance par d\u00e9faut des r\u00f4les utilis\u00e9s avec Roles\u00a0Anywhere.<\/strong> Comme mentionn\u00e9 pr\u00e9c\u00e9demment, la politique par d\u00e9faut autorise toute ancre de confiance \u00e0 assumer le r\u00f4le. Il est donc essentiel de restreindre l\u2019acc\u00e8s \u00e0 ce r\u00f4le \u00e0 une seule ancre de confiance\u00a0: celle utilis\u00e9e pour authentifier la charge de travail concern\u00e9e.<\/li>\n<\/ul>\n
\"Condition\": {\r\n\r\n\"ArnEquals\": {\r\n\r\n\"aws:SourceArn\": [\r\n\r\n\"arn:aws:rolesanywhere:region:account:trust-anchor\/TA_ID\"\r\n\r\n]\r\n\r\n}\r\n\r\n}<\/pre>\nDes conditions suppl\u00e9mentaires doivent \u00e9galement \u00eatre mises en place afin de limiter l\u2019acc\u00e8s uniquement aux certificats pr\u00e9sentant certains attributs, comme Common\u00a0Name ou Organization. Toutefois, ces conditions ne constituent pas une solution miracle et peuvent \u00eatre contourn\u00e9es dans certains cas, par exemple si un attaquant parvient \u00e0 extraire les informations d\u2019attributs \u00e0 partir du certificat.<\/p>\n
\n- Nous recommandons d\u2019utiliser des ancres de confiance de type\u00a0ACM-PCA.<\/strong> Ce faisant, m\u00eame un attaquant disposant d\u2019un acc\u00e8s complet au service Roles Anywhere ne pourra pas t\u00e9l\u00e9verser son propre certificat CA dans l\u2019ancre de confiance. Le type d\u2019ancre ne pouvant pas \u00eatre modifi\u00e9, des autorisations ACM-PCA sp\u00e9cifiques (et rarement attribu\u00e9es) seront n\u00e9cessaires pour authentifier une entit\u00e9.\n
\n- Il s'agit l\u00e0 d'un point crucial. Si les r\u00f4les cens\u00e9s \u00eatre assum\u00e9s par les ancres de confiance utilisent la condition mentionn\u00e9e dans le point pr\u00e9c\u00e9dent, ils ne pourront pas \u00eatre accessibles. Il convient toutefois de noter que les autorit\u00e9s de certification priv\u00e9es dans AWS pr\u00e9sentent leurs propres consid\u00e9rations de s\u00e9curit\u00e9 et peuvent elles aussi constituer un risque si elles ne sont pas correctement configur\u00e9es.<\/li>\n<\/ul>\n<\/li>\n
- Les autorisations doivent toujours \u00eatre attribu\u00e9es selon le principe du moindre privil\u00e8ge.<\/strong> L\u2019authentification via Roles\u00a0Anywhere est g\u00e9n\u00e9ralement accord\u00e9e \u00e0 des identit\u00e9s non humaines, et les dispositifs qui utilisent ce service ont en principe des t\u00e2ches sp\u00e9cifiques et pr\u00e9d\u00e9finies \u00e0 accomplir. Par cons\u00e9quent, le niveau d\u2019acc\u00e8s de ces identit\u00e9s ne doit pas d\u00e9passer les exigences strictes li\u00e9es aux t\u00e2ches qui leur sont assign\u00e9es. En compl\u00e9ment des r\u00f4les IAM eux-m\u00eames, il est \u00e9galement possible d\u2019associer une politique de session \u00e0 un profil. Cette politique d\u00e9finit les autorisations maximales qu\u2019un r\u00f4le peut obtenir lorsqu\u2019il est assum\u00e9 via Roles\u00a0Anywhere.<\/li>\n
- Surveillez et tracez r\u00e9guli\u00e8rement les ressources AWS\u00a0IAM Roles\u00a0Anywhere\u00a0:<\/strong> il est essentiel de maintenir une surveillance continue des ancres de confiance, des profils et des ressources associ\u00e9es. \u00c9tant donn\u00e9 que les ancres de confiance et les profils ne sont pas cr\u00e9\u00e9s fr\u00e9quemment, leur cr\u00e9ation ou leur modification constitue un \u00e9v\u00e9nement potentiellement suspect. Toute modification inattendue de ces ressources doit \u00eatre imm\u00e9diatement analys\u00e9e afin de v\u00e9rifier qu\u2019aucune activit\u00e9 non autoris\u00e9e n\u2019est en cours. Des audits r\u00e9guliers et des alertes automatis\u00e9es permettent de d\u00e9tecter et de traiter rapidement d\u2019\u00e9ventuelles menaces de s\u00e9curit\u00e9.<\/li>\n
- Ex\u00e9cutez la requ\u00eate\u00a0XQL suivante dans Cortex\u00a0Query\u00a0Builder pour identifier les r\u00f4les qui font confiance au service Roles\u00a0Anywhere sans appliquer de conditions de restriction.<\/li>\n<\/ul>\n
dataset = asset_inventory\r\n\r\n| filter xdm.asset.type.id = \"AWS_IAM_ROLE\" and xdm.asset.raw_fields != null\r\n\r\n| fields xdm.asset.id as asset_id, xdm.asset.raw_fields\r\n\r\n| alter statements = json_extract_array(xdm.asset.raw_fields, \"$['Platform Discovery'].Role.AssumeRolePolicyDocument.Statement\")\r\n\r\n| arrayexpand statements\r\n\r\n| alter principal = json_extract(statements ,\"$.Principal\")\r\n\r\n| alter condition = json_extract(statements, \"$.Condition\")\r\n\r\n| alter service1 = json_extract_scalar(principal ,\"$.Service\")\r\n\r\n| alter service1_array = if(service1 != null, arraycreate(service1), arraycreate(\"null\"))\r\n\r\n| alter serviceA = json_extract_scalar_array(principal ,\"$.Service\")\r\n\r\n| alter service = if(service1 != null, service1_array ,serviceA)\r\n\r\n| arrayexpand service\r\n\r\n| filter service = \"rolesanywhere.amazonaws.com\"\r\n\r\n| fields asset_id, service, condition, principal, statements, xdm.asset.raw_fields\r\n\r\n| alter is_condition_empty = if(condition != null, false, true)\r\n\r\n| filter is_condition_empty = true<\/pre>\nConclusion<\/strong><\/h2>\nCet article a examin\u00e9 les principaux risques li\u00e9s \u00e0 l\u2019utilisation des configurations par d\u00e9faut du service Roles\u00a0Anywhere d\u2019AWS, tant du point de vue d\u2019un attaquant potentiel que de celui d\u2019un d\u00e9fenseur. Nous avons pr\u00e9sent\u00e9 plusieurs strat\u00e9gies d\u2019att\u00e9nuation que les organisations devraient mettre en \u0153uvre pour mieux g\u00e9rer ces risques. Nous esp\u00e9rons que cette analyse aidera les lecteurs \u00e0 mieux comprendre les vuln\u00e9rabilit\u00e9s potentielles associ\u00e9es \u00e0 la configuration par d\u00e9faut de ce service, ainsi que les meilleures pratiques pour les att\u00e9nuer.<\/p>\n
Un enseignement cl\u00e9 de cet article est qu\u2019il est essentiel, lors de l\u2019utilisation de services propos\u00e9s par des fournisseurs\u00a0cloud, de bien comprendre leur configuration et leur architecture, plut\u00f4t que de s\u2019y fier aveugl\u00e9ment.<\/p>\n
\n- Appliquer les bonnes pratiques de s\u00e9curit\u00e9, le principe du moindre privil\u00e8ge et une approche de d\u00e9fense int\u00e9gr\u00e9e.<\/li>\n
- Cela permet de garantir que les services sont correctement architectur\u00e9s et surveill\u00e9s en cas de modification de leur configuration.<\/li>\n
- La mise en place d\u2019une surveillance en temps r\u00e9el contribue \u00e0 assurer la s\u00e9curit\u00e9 des environnements\u00a0cloud personnalis\u00e9s.<\/li>\n<\/ul>\n
Cortex\u00a0Cloud<\/a> vous prot\u00e8ge contre les configurations erron\u00e9es de l\u2019infrastructure \u00e0 cl\u00e9 publique (PKI) d\u00e9crites dans cet article. Gr\u00e2ce \u00e0 des r\u00e8gles bas\u00e9es sur les agents\u00a0Cloud\u00a0XDR ainsi qu\u2019\u00e0 des r\u00e8gles d\u2019analyse comportementale, Cortex\u00a0Cloud est capable de d\u00e9tecter et de bloquer les usages abusifs des politiques\u00a0IAM, tout en automatisant la r\u00e9ponse via les capacit\u00e9s de la plateforme\u00a0XSOAR.<\/p>\nLes organisations peuvent b\u00e9n\u00e9ficier d\u2019un accompagnement pour \u00e9valuer leur posture de s\u00e9curit\u00e9\u00a0cloud gr\u00e2ce \u00e0 l\u2019\u00e9valuation de s\u00e9curit\u00e9\u00a0cloud d\u2019Unit\u00a042<\/a>.<\/p>\nSi vous pensez avoir \u00e9t\u00e9 compromis ou en cas de question urgente, prenez contact avec l\u2019\u00e9quipe de r\u00e9ponse \u00e0 incident d\u2019Unit\u00a042<\/a> ou appelez les num\u00e9ros suivants\u00a0:<\/p>\n\n- Am\u00e9rique du Nord\u00a0: Gratuit\u00a0: +1 (866) 486-4842 (866.4.UNIT42)<\/li>\n
- ROYAUME-UNI\u00a0: +44.20.3743.3660<\/li>\n
- Europe et Moyen-Orient\u00a0: +31.20.299.3130<\/li>\n
- Asie\u00a0: +65.6983.8730<\/li>\n
- Japon\u00a0: +81.50.1790.0200<\/li>\n
- Australie\u00a0: +61.2.4062.7950<\/li>\n
- Inde\u00a0: 00080005045107<\/li>\n<\/ul>\n
Palo\u00a0Alto\u00a0Networks a partag\u00e9 ces r\u00e9sultats avec les membres de la Cyber\u00a0Threat\u00a0Alliance (CTA). Les membres de la CTA utilisent ces renseignements pour d\u00e9ployer rapidement des mesures de protection aupr\u00e8s de leurs clients et pour perturber syst\u00e9matiquement les cyberacteurs malveillants. En savoir plus sur la Cyber Threat Alliance<\/a>.<\/p>\n<\/a>Ressources compl\u00e9mentaires<\/h2>\n\n- Le principe du moindre privil\u00e8ge\u00a0:<\/a> les explications-\u00a0Palo\u00a0Alto\u00a0Networks<\/li>\n
- Le mod\u00e8le de confiance\u00a0IAM de Roles\u00a0Anywhere<\/a> -\u00a0Documentation officielle d'Amazon Web Services<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"
Cet aper\u00e7u du service\u00a0AWS Roles\u00a0Anywhere examine les risques potentiels tant du point de vue du d\u00e9fenseur que de celui de l\u2019attaquant.<\/p>\n","protected":false},"author":366,"featured_media":142580,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[8724,8832],"tags":[9293,9294],"product_categories":[9041,9046,9068,9151],"coauthors":[8916],"class_list":["post-145428","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cloud-cybersecurity-research-fr","category-threat-research-fr","tag-aws-fr","tag-kubernetes-fr","product_categories-cortex-fr","product_categories-cortex-cloud-fr","product_categories-cortex-xsoar-fr","product_categories-unit-42-incident-response-fr"],"yoast_head":"\n
Des r\u00f4les par ci, des r\u00f4les par l\u00e0, des r\u00f4les partout ! Explorons la s\u00e9curit\u00e9 d'AWS IAM Roles Anywhere<\/title>\n<meta name=\"description\" content=\"Cet aper\u00e7u du service\u00a0AWS Roles\u00a0Anywhere examine les risques potentiels tant du point de vue du d\u00e9fenseur que de celui de l\u2019attaquant. Cet aper\u00e7u du service\u00a0AWS Roles\u00a0Anywhere examine les risques potentiels tant du point de vue du d\u00e9fenseur que de celui de l\u2019attaquant.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/aws-roles-anywhere\/\" \/>\n<meta property=\"og:locale\" content=\"fr_FR\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Des r\u00f4les par ci, des r\u00f4les par l\u00e0, des r\u00f4les partout ! Explorons la s\u00e9curit\u00e9 d'AWS IAM Roles Anywhere\" \/>\n<meta property=\"og:description\" content=\"Cet aper\u00e7u du service\u00a0AWS Roles\u00a0Anywhere examine les risques potentiels tant du point de vue du d\u00e9fenseur que de celui de l\u2019attaquant. Cet aper\u00e7u du service\u00a0AWS Roles\u00a0Anywhere examine les risques potentiels tant du point de vue du d\u00e9fenseur que de celui de l\u2019attaquant.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/unit42.paloaltonetworks.com\/fr\/aws-roles-anywhere\/\" \/>\n<meta property=\"og:site_name\" content=\"Unit 42\" \/>\n<meta property=\"article:published_time\" content=\"2025-06-09T16:09:45+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2025-07-07T18:55:18+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/06\/01_Cloud_cybersecurity_research_Overview_1920x900.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"1920\" \/>\n\t<meta property=\"og:image:height\" content=\"900\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Itay Saraf\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"Des r\u00f4les par ci, des r\u00f4les par l\u00e0, des r\u00f4les partout ! Explorons la s\u00e9curit\u00e9 d'AWS IAM Roles Anywhere","description":"Cet aper\u00e7u du service\u00a0AWS Roles\u00a0Anywhere examine les risques potentiels tant du point de vue du d\u00e9fenseur que de celui de l\u2019attaquant. Cet aper\u00e7u du service\u00a0AWS Roles\u00a0Anywhere examine les risques potentiels tant du point de vue du d\u00e9fenseur que de celui de l\u2019attaquant.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/unit42.paloaltonetworks.com\/fr\/aws-roles-anywhere\/","og_locale":"fr_FR","og_type":"article","og_title":"Des r\u00f4les par ci, des r\u00f4les par l\u00e0, des r\u00f4les partout ! Explorons la s\u00e9curit\u00e9 d'AWS IAM Roles Anywhere","og_description":"Cet aper\u00e7u du service\u00a0AWS Roles\u00a0Anywhere examine les risques potentiels tant du point de vue du d\u00e9fenseur que de celui de l\u2019attaquant. Cet aper\u00e7u du service\u00a0AWS Roles\u00a0Anywhere examine les risques potentiels tant du point de vue du d\u00e9fenseur que de celui de l\u2019attaquant.","og_url":"https:\/\/unit42.paloaltonetworks.com\/fr\/aws-roles-anywhere\/","og_site_name":"Unit 42","article_published_time":"2025-06-09T16:09:45+00:00","article_modified_time":"2025-07-07T18:55:18+00:00","og_image":[{"width":1920,"height":900,"url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/06\/01_Cloud_cybersecurity_research_Overview_1920x900.jpg","type":"image\/jpeg"}],"author":"Itay Saraf","twitter_card":"summary_large_image","schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/aws-roles-anywhere\/#article","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/aws-roles-anywhere\/"},"author":{"name":"Sheida Azimi","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639"},"headline":"Des r\u00f4les par ci, des r\u00f4les par l\u00e0, des r\u00f4les partout ! Explorons la s\u00e9curit\u00e9 d'AWS IAM Roles Anywhere","datePublished":"2025-06-09T16:09:45+00:00","dateModified":"2025-07-07T18:55:18+00:00","mainEntityOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/aws-roles-anywhere\/"},"wordCount":3817,"commentCount":0,"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/aws-roles-anywhere\/#primaryimage"},"thumbnailUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/06\/01_Cloud_cybersecurity_research_Overview_1920x900.jpg","keywords":["AWS","Kubernetes"],"articleSection":["\u00c9tudes sur la cybers\u00e9curit\u00e9 du cloud","Recherche sur les menaces"],"inLanguage":"fr-FR","potentialAction":[{"@type":"CommentAction","name":"Comment","target":["https:\/\/unit42.paloaltonetworks.com\/fr\/aws-roles-anywhere\/#respond"]}]},{"@type":"WebPage","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/aws-roles-anywhere\/","url":"https:\/\/unit42.paloaltonetworks.com\/fr\/aws-roles-anywhere\/","name":"Des r\u00f4les par ci, des r\u00f4les par l\u00e0, des r\u00f4les partout ! Explorons la s\u00e9curit\u00e9 d'AWS IAM Roles Anywhere","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#website"},"primaryImageOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/aws-roles-anywhere\/#primaryimage"},"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/aws-roles-anywhere\/#primaryimage"},"thumbnailUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/06\/01_Cloud_cybersecurity_research_Overview_1920x900.jpg","datePublished":"2025-06-09T16:09:45+00:00","dateModified":"2025-07-07T18:55:18+00:00","author":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639"},"description":"Cet aper\u00e7u du service\u00a0AWS Roles\u00a0Anywhere examine les risques potentiels tant du point de vue du d\u00e9fenseur que de celui de l\u2019attaquant. Cet aper\u00e7u du service\u00a0AWS Roles\u00a0Anywhere examine les risques potentiels tant du point de vue du d\u00e9fenseur que de celui de l\u2019attaquant.","breadcrumb":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/aws-roles-anywhere\/#breadcrumb"},"inLanguage":"fr-FR","potentialAction":[{"@type":"ReadAction","target":["https:\/\/unit42.paloaltonetworks.com\/fr\/aws-roles-anywhere\/"]}]},{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/aws-roles-anywhere\/#primaryimage","url":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/06\/01_Cloud_cybersecurity_research_Overview_1920x900.jpg","contentUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/06\/01_Cloud_cybersecurity_research_Overview_1920x900.jpg","width":1920,"height":900,"caption":"Pictorial representation of AWS Roles Anywhere. Futuristic cityscape with glowing orange and blue structures, elevated clouds, and illuminated, scattered points representing lights or data points."},{"@type":"BreadcrumbList","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/aws-roles-anywhere\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/unit42.paloaltonetworks.com\/"},{"@type":"ListItem","position":2,"name":"Des r\u00f4les par ci, des r\u00f4les par l\u00e0, des r\u00f4les partout ! Explorons la s\u00e9curit\u00e9 d'AWS IAM Roles Anywhere"}]},{"@type":"WebSite","@id":"https:\/\/unit42.paloaltonetworks.com\/#website","url":"https:\/\/unit42.paloaltonetworks.com\/","name":"Unit 42","description":"Palo Alto Networks","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/unit42.paloaltonetworks.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"fr-FR"},{"@type":"Person","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639","name":"Sheida Azimi","image":{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/image\/9213e49ea48b7676660bac40d05c9e3e","url":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","contentUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","caption":"Sheida Azimi"},"url":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/author\/sheida-azimi\/"}]}},"_links":{"self":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/145428","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/users\/366"}],"replies":[{"embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/comments?post=145428"}],"version-history":[{"count":2,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/145428\/revisions"}],"predecessor-version":[{"id":145507,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/145428\/revisions\/145507"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/media\/142580"}],"wp:attachment":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/media?parent=145428"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/categories?post=145428"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/tags?post=145428"},{"taxonomy":"product_categories","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/product_categories?post=145428"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/coauthors?post=145428"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
<\/a>Composants et concepts cl\u00e9s<\/h2>\nLe processus d'authentification se compose de plusieurs \u00e9l\u00e9ments essentiels\u00a0:<\/p>\n
\n- Points d\u2019ancrage de confiance\u00a0:<\/strong> un point d\u2019ancrage de confiance est une ressource qui repr\u00e9sente le certificat d\u2019autorit\u00e9 de certification\u00a0(CA) dans Roles Anywhere. Lors de la cr\u00e9ation d\u2019un point d\u2019ancrage, un certificat\u00a0CA doit y \u00eatre associ\u00e9. Il existe deux types de point d\u2019ancrage de confiance\u00a0:\n
\n- Le certificat\u00a0ACM-PCA<\/strong> (AWS Certificate Manager \u2013\u00a0Private Certificate Authority), une ressource g\u00e9r\u00e9e par AWS.<\/li>\n
- Le bundle de certificats\u00a0:<\/strong> un certificat\u00a0X.509 encod\u00e9 au format\u00a0ASCII Privacy-Enhanced Mail (PEM), directement rattach\u00e9 au point d\u2019ancrage.<\/li>\n<\/ul>\n<\/li>\n
- Profils\u00a0:<\/strong> ces ressources d\u00e9terminent le niveau d\u2019acc\u00e8s accord\u00e9 \u00e0 une entit\u00e9 authentifi\u00e9e via Roles\u00a0Anywhere. Chaque profil est associ\u00e9 \u00e0 des r\u00f4les\u00a0IAM (gestion et acc\u00e8s des identit\u00e9s) qui d\u00e9finissent les autorisations, ainsi qu\u2019\u00e0 des m\u00e9canismes suppl\u00e9mentaires permettant d\u2019affiner ces droits d\u2019acc\u00e8s.<\/li>\n
- R\u00f4les\u00a0IAM\u00a0:<\/strong> ces r\u00f4les sont associ\u00e9s aux v\u00e9ritables politiques\u00a0IAM, qui octroient (ou restreignent) les autorisations d\u2019acc\u00e8s aux ressources\u00a0AWS.<\/li>\n<\/ul>\n
![\"Diagramme]()
Figure 1 : Vue d\u00e9taill\u00e9e du processus d'authentification.<\/figcaption><\/figure>\nEn pratique, l\u2019authentification via Roles\u00a0Anywhere s\u2019effectue en envoyant une requ\u00eate vers le terminal \/sessions<\/span>. Cette requ\u00eate est sign\u00e9e \u00e0 l\u2019aide de la cl\u00e9 priv\u00e9e du certificat et inclut, comme param\u00e8tres, l\u2019Amazon\u00a0Resource\u00a0Name (ARN) de l\u2019ancrage de confiance (Trust\u00a0Anchor), ainsi que les ARN du profil et du r\u00f4le.<\/p>\nLa mani\u00e8re la plus simple de composer cette requ\u00eate consiste \u00e0 utiliser l\u2019outil aws_signing_helper<\/a><\/span>. Cet utilitaire automatise le processus d\u2019authentification et peut \u00e9galement rendre les identifiants disponibles localement en \u00e9mulant le terminal de l\u2019Instance Metadata Service, \u00e0 l\u2019image du fonctionnement des instances\u00a0Amazon Elastic Compute Cloud (EC2).<\/p>\nLa figure 2 pr\u00e9sente des exemples de requ\u00eates et de r\u00e9ponses dans le cadre de l\u2019authentification avec Roles\u00a0Anywhere.<\/p>\n![\"Capture]()
Figure 2. Exemples de requ\u00eates et de r\u00e9ponses lors de l\u2019authentification via Roles Anywhere.<\/figcaption><\/figure>\n<\/a>Utilisation courante de Roles\u00a0Anywhere<\/h3>\nPour mieux comprendre le processus de configuration de Roles\u00a0Anywhere, prenons l\u2019exemple suivant\u00a0:<\/p>\n
\n- Un pod\u00a0Kubernetes situ\u00e9 en dehors d\u2019AWS a besoin d\u2019un acc\u00e8s pour lire des objets dans un bucket\u00a0Amazon\u00a0S3.<\/li>\n
- L\u2019ing\u00e9nieur\u00a0cloud \u00e9met un certificat et le signe \u00e0 l\u2019aide du certificat du point d\u2019ancrage de confiance. Le certificat sign\u00e9 est ensuite stock\u00e9 dans le pod, avec sa cl\u00e9 priv\u00e9e.<\/li>\n
- L\u2019ing\u00e9nieur cr\u00e9e un r\u00f4le\u00a0IAM comprenant les autorisations\u00a0S3 n\u00e9cessaires et l\u2019associe \u00e0 un profil Roles\u00a0Anywhere.<\/li>\n
- Le pod\u00a0Kubernetes peut alors utiliser le certificat, ainsi que les identifiants li\u00e9s au r\u00f4le et la cl\u00e9 priv\u00e9e, pour signer les requ\u00eates, s\u2019authentifier et lire les objets du bucket\u00a0S3 configur\u00e9.<\/li>\n<\/ul>\n
<\/a>S\u00e9curisation du processus d\u2019authentification par d\u00e9faut<\/h2>\nUn aspect int\u00e9ressant de ce processus d\u2019authentification r\u00e9side dans le fait qu\u2019il n\u2019existe, par d\u00e9faut, aucune corr\u00e9lation entre une ancre de confiance et un profil sp\u00e9cifique. Il est essentiel que les organisations comprennent les risques associ\u00e9s \u00e0 cette configuration et configurentcorrectement les ressources Roles\u00a0Anywhere ainsi que les politiques de confiance des r\u00f4les\u00a0IAM.<\/p>\n
Autrement dit, les organisations doivent veiller \u00e0 ce que chaque certificat client soit sign\u00e9 par une ancre de confiance sp\u00e9cifique et destin\u00e9 \u00e0 un profil bien d\u00e9fini. Cela permet d\u2019emp\u00eacher tout acc\u00e8s non autoris\u00e9 \u00e0 d\u2019autres profils ou ancres de confiance au sein du m\u00eame compte\u00a0AWS et de la m\u00eame r\u00e9gion.<\/p>\n
Pour illustrer les cons\u00e9quences potentielles de ce processus, reprenons l\u2019exemple du pod mentionn\u00e9 pr\u00e9c\u00e9demment. Jusqu\u2019ici, les \u00e9tapes suivies sont l\u00e9gitimes. Le pod dispose exactement des autorisations dont il a besoin, ni plus ni moins.<\/p>\n
Mais que se passerait-il si un attaquant parvenait \u00e0 acc\u00e9der au pod\u00a0? Si d'autres profils ont \u00e9t\u00e9 cr\u00e9\u00e9s dans le m\u00eame compte et la m\u00eame r\u00e9gion\u00a0AWS, l'attaquant pourrait utiliser le certificat pour obtenir un acc\u00e8s aux r\u00f4les associ\u00e9s \u00e0 ces profils\u00a0:<\/p>\n
\n- L\u2019attaquant pourrait d\u00e9duire les ARN d\u2019un autre r\u00f4le\u00a0IAM rattach\u00e9 au m\u00eame profil, ou bien les ARN et les r\u00f4les associ\u00e9s \u00e0 un autre profil. D\u00e9duire ces ARN est une op\u00e9ration complexe qui n\u00e9cessite des autorisations suppl\u00e9mentaires dans l\u2019environnement\u00a0AWS. Nous aborderons ces techniques plus loin dans l\u2019article.<\/a><\/li>\n
- Une fois toutes les informations n\u00e9cessaires r\u00e9unies, l\u2019attaquant peut formuler des requ\u00eates afin d\u2019obtenir des identifiants temporaires pour diff\u00e9rents r\u00f4les, et exploiter leurs autorisations pour mener des op\u00e9rations malveillantes.<\/li>\n<\/ul>\n
AWS propose plusieurs moyens<\/a> de restreindre l\u2019acc\u00e8s via Roles\u00a0Anywhere, notamment en utilisant des conditions<\/strong> dans la politique de confiance du r\u00f4le. Toutefois, la politique de confiance par d\u00e9faut de Roles Anywhere ne comporte aucune condition dans sa d\u00e9claration<\/strong>. Cela signifie que tout environnement utilisant cette configuration par d\u00e9faut ne b\u00e9n\u00e9ficie d\u2019aucune restriction d\u2019acc\u00e8s. Il incombe donc \u00e0 chaque organisation de s\u2019assurer qu\u2019elle ne repose pas sur les param\u00e8tres par d\u00e9faut pour la configuration de Roles\u00a0Anywhere.<\/p>\nLors de la cr\u00e9ation d\u2019un r\u00f4le par d\u00e9faut utilis\u00e9 pour Roles\u00a0Anywhere, la politique de confiance suivante est d\u00e9finie\u00a0:<\/p>\n
{\r\n\r\n\"Version\": \"2012-10-17\",\r\n\r\n\"Statement\": [\r\n\r\n{\r\n\r\n\"Sid\": \"\",\r\n\r\n\"Effect\": \"Allow\",\r\n\r\n\"Principal\": {\r\n\r\n\"Service\": \"rolesanywhere.amazonaws.com\"\r\n\r\n},\r\n\r\n\"Action\": [\r\n\r\n\"sts:AssumeRole\",\r\n\r\n\"sts:SetSourceIdentity\",\r\n\r\n\"sts:TagSession\"\r\n\r\n]\r\n\r\n}\r\n\r\n]\r\n\r\n}<\/pre>\nCette politique indique que ce r\u00f4le peut \u00eatre assum\u00e9 par le service Roles\u00a0Anywhere.<\/strong> Cependant, elle ne comporte aucune autre restriction quant aux sources autoris\u00e9es \u00e0 l\u2019assumer. Cela signifie que si un r\u00f4le est associ\u00e9 \u00e0 un profil, tout certificat sign\u00e9 par un ancrage de confiance dans la m\u00eame r\u00e9gion peut assumer ce r\u00f4le.<\/p>\nPour rem\u00e9dier \u00e0 cela, AWS a introduit la section\u00a0Condition dans les politiques. Cette section permet d\u2019imposer des restrictions suppl\u00e9mentaires aux ressources, en sp\u00e9cifiant les exigences qu\u2019elles doivent remplir pour pouvoir ex\u00e9cuter une action donn\u00e9e.<\/p>\n
La politique suivante ajoute une section\u00a0Condition \u00e0 la politique par d\u00e9faut, afin de restreindre l\u2019acc\u00e8s au r\u00f4le via l\u2019authentification Roles\u00a0Anywhere uniquement \u00e0 partir d\u2019une autorit\u00e9 de confiance sp\u00e9cifique.<\/p>\n
{\r\n\r\n\"Version\": \"2012-10-17\",\r\n\r\n\"Statement\": [\r\n\r\n{\r\n\r\n\"Sid\": \"\",\r\n\r\n\"Effect\": \"Allow\",\r\n\r\n\"Principal\": {\r\n\r\n\"Service\": \"rolesanywhere.amazonaws.com\"\r\n\r\n},\r\n\r\n\"Action\": [\r\n\r\n\"sts:AssumeRole\",\r\n\r\n\"sts:SetSourceIdentity\",\r\n\r\n\"sts:TagSession\"\r\n\r\n],\r\n\r\n\"Condition\": {\r\n\r\n\"ArnEquals\": {\r\n\r\n\"aws:SourceArn\": [\r\n\r\n\"arn:aws:rolesanywhere:region:account:trust-anchor\/TA_ID\"\r\n\r\n]\r\n\r\n}\r\n\r\n}\r\n\r\n}\r\n\r\n]\r\n\r\n}<\/pre>\nPour restreindre encore davantage l\u2019acc\u00e8s des certificats sign\u00e9s, nous recommandons d\u2019utiliser la fonctionnalit\u00e9 de mappage des attributs de certificat<\/strong>. AWS recommande \u00e9galement cette approche dans la documentation de Roles Anywhere<\/a>\u00a0:<\/p>\n![\"Notification]()
Figure 3. Recommandation d\u2019AWS pour l\u2019utilisation du mappage d'attributs.<\/figcaption><\/figure>\nConcr\u00e8tement, il est possible d\u2019associer les attributs d\u2019un certificat \u00e0 des valeurs qui seront \u00e9valu\u00e9es dans la politique de confiance. On peut ainsi restreindre l\u2019acc\u00e8s \u00e0 des r\u00f4les en fonction du nom commun (Common Name), de l\u2019unit\u00e9 d\u2019organisation ou de tout autre attribut pr\u00e9sent dans le certificat.<\/p>\n
Cette approche est vivement recommand\u00e9e, car elle permet de garantir que, m\u00eame si une ressource utilisant Roles\u00a0Anywhere pour s\u2019authentifier est compromise, elle ne pourra pas acc\u00e9der \u00e0 d\u2019autres r\u00f4les.<\/p>\n
La condition suivante combine la restriction par ancrage de confiance mentionn\u00e9e pr\u00e9c\u00e9demment avec une limitation d\u2019acc\u00e8s fond\u00e9e sur les attributs du certificat\u00a0:<\/p>\n
\"Condition\": {\r\n\r\n\"ArnEquals\": {\r\n\r\n\"aws:SourceArn\": [\r\n\r\n\"arn:aws:rolesanywhere:region:account:trust-anchor\/TA_ID\"\r\n\r\n]\r\n\r\n},\r\n\r\n\"StringEquals\": {\r\n\r\n\"aws:PrincipalTag\/x509Subject\/CN\": \"COMMON_NAME\"\r\n\r\n}\r\n\r\n}<\/pre>\nComme pour tout autre service, le principe du moindre privil\u00e8ge doit \u00eatre appliqu\u00e9 lors de la mise en place de l\u2019infrastructure Roles\u00a0Anywhere. L\u2019utilisation du mappage des attributs du certificat permet de le mettre en \u0153uvre efficacement.<\/p>\n
<\/a>La perspective de l\u2019attaquant<\/h2>\n<\/a>Sc\u00e9nario n\u00b01 \u2013\u00a0Utilisation de certificats et de cl\u00e9s priv\u00e9es valides par un attaquant<\/h3>\nComme indiqu\u00e9 pr\u00e9c\u00e9demment, les \u00e9l\u00e9ments suivants sont n\u00e9cessaires pour s\u2019authentifier via Roles\u00a0Anywhere\u00a0:<\/p>\n
\n- Le certificat client<\/li>\n
- La cl\u00e9 priv\u00e9e associ\u00e9e au certificat client<\/li>\n
- L\u2019ARN de l\u2019ancrage de confiance ayant sign\u00e9 le certificat<\/li>\n
- L\u2019ARN d\u2019un profil situ\u00e9 dans la m\u00eame r\u00e9gion<\/li>\n
- L\u2019ARN d\u2019un r\u00f4le IAM attach\u00e9 \u00e0 ce profil<\/li>\n<\/ul>\n
Dans le sc\u00e9nario suivant, un attaquant compromet une configuration par d\u00e9faut de Roles\u00a0Anywhere en s\u2019emparant d\u2019un certificat\u00a0client utilis\u00e9 pour l\u2019authentification, ainsi que de sa cl\u00e9 priv\u00e9e. Pour exploiter cette configuration par d\u00e9faut \u00e0 des fins malveillantes et acc\u00e9der \u00e0 d\u2019autres r\u00f4les dans le compte, l\u2019attaquant doit encore d\u00e9couvrir les ARN des ressources concern\u00e9es afin de pouvoir s\u2019authentifier aupr\u00e8s d\u2019AWS. Or, obtenir ces ARN n\u2019est pas une t\u00e2che facile\u00a0: cela n\u00e9cessite des privil\u00e8ges suppl\u00e9mentaires et ind\u00e9pendants au sein du compte.<\/p>\n
Les techniques suivantes peuvent \u00eatre utilis\u00e9es pour obtenir ces informations\u00a0:<\/p>\n
Utilisation des actions de Roles Anywhere: <\/strong>Un attaquant ayant obtenu des autorisations suffisantes sur le service Roles\u00a0Anywhere peut tout simplement ex\u00e9cuter des actions permettant de r\u00e9cup\u00e9rer les ARN n\u00e9cessaires. Il peut, par exemple, utiliser les actions list-trust-anchors<\/span> et list-profiles<\/span>, qui requi\u00e8rent respectivement les autorisations rolesanywhere:ListTrustAnchors<\/span> et rolesanywhere:ListProfiles<\/span>. La sortie de ces commandes fournit tous les ARN requis pour formuler une requ\u00eate d\u2019authentification, puisque la commande list-profiles<\/span> retourne \u00e9galement tous les r\u00f4les associ\u00e9s au profil.<\/p>\nExploitation des donn\u00e9es des journaux: <\/strong>CloudTrail<\/a> est le principal m\u00e9canisme de journalisation d'AWS. Un attaquant disposant d\u2019un acc\u00e8s ind\u00e9pendant aux journaux\u00a0CloudTrail (ou aux services de stockage qui les h\u00e9bergent) pourrait identifier des \u00e9l\u00e9ments cr\u00e9\u00e9s par le service Roles\u00a0Anywhere. Certains journaux\u00a0CloudTrail contiennent en effet tous les ARN n\u00e9cessaires au processus d\u2019authentification. Les \u00e9v\u00e9nements g\u00e9n\u00e9r\u00e9s par plusieurs actions du service Roles\u00a0Anywhere r\u00e9v\u00e8lent ces ARN dans les journaux.<\/p>\nLe journal le plus pertinent est CreateSession<\/span>. Il est g\u00e9n\u00e9r\u00e9 lorsque le service Roles\u00a0Anywhere est utilis\u00e9 pour l\u2019authentification, c\u2019est-\u00e0-dire lorsqu\u2019il cr\u00e9e des informations d\u2019identification temporaires et les envoie \u00e0 l\u2019utilisateur. La figure\u00a03 montre un exemple d\u2019entr\u00e9e de journal CreateSession<\/span> et met en \u00e9vidence l\u2019ARN associ\u00e9.<\/p>\n![\"Capture]()
Figure 4. Journal CloudTrail de l\u2019action CreateSession<\/span>.<\/figcaption><\/figure>\nLes ARN d\u2019un point d\u2019ancrage de confiance, d\u2019un profil et de l\u2019un des r\u00f4les qui lui sont associ\u00e9s apparaissent dans ce journal d\u2019\u00e9v\u00e9nement. Si le certificat de l\u2019attaquant a \u00e9t\u00e9 sign\u00e9 par le point d\u2019ancrage indiqu\u00e9 dans le journal, il pourra l\u2019utiliser pour s\u2019authentifier.<\/p>\n
La figure\u00a05 pr\u00e9sente une illustration d\u00e9taill\u00e9e des \u00e9tapes suivies par l\u2019attaquant.<\/p>\n![\"Diagramme]()
Figure 5. Vue d'ensemble des \u00e9tapes suivies par l\u2019attaquant.<\/figcaption><\/figure>\n<\/a>Sc\u00e9nario\u00a0n\u00b0\u00a02 \u2013\u00a0Exploitation de permissions directes sur le service Roles\u00a0Anywhere<\/h3>\nUn autre sc\u00e9nario dans lequel une configuration par d\u00e9faut du service Roles\u00a0Anywhere peut \u00eatre exploit\u00e9e survient lorsqu\u2019un attaquant acc\u00e8de \u00e0 une identit\u00e9 disposant de permissions sur ce service. Ces autorisations peuvent \u00eatre accord\u00e9es via une instruction\u00a0Allow<\/span> directe sur le service, ou de mani\u00e8re indirecte \u00e0 travers un \u00e9l\u00e9ment\u00a0NotAction<\/span>.<\/p>\nLes \u00e9tapes suivantes peuvent \u00eatre utilis\u00e9es pour exploiter ces permissions\u00a0:<\/p>\n
\n- L\u2019attaquant acc\u00e8de \u00e0 une identit\u00e9 disposant d\u2019une configuration et de permissions par d\u00e9faut sur le service Roles\u00a0Anywhere.<\/li>\n
- Il cr\u00e9e deux certificats -\u00a0un certificat d\u2019autorit\u00e9 de certification (CA) et un certificat client\u00a0- puis utilise le certificat CA pour signer le certificat client. \u00c9tant \u00e0 l\u2019origine de la cr\u00e9ation, l\u2019attaquant d\u00e9tient \u00e9galement les cl\u00e9s priv\u00e9es associ\u00e9es \u00e0 ces certificats.<\/li>\n
- L\u2019attaquant utilise l\u2019identit\u00e9 compromise pour cr\u00e9er un point d\u2019ancrage de confiance et y associe le certificat\u00a0CA.<\/li>\n
- Gr\u00e2ce aux permissions de type \u00ab\u00a0list\u00a0\u00bb sur le service Roles\u00a0Anywhere, il r\u00e9cup\u00e8re les ARN des profils et des r\u00f4les\u00a0IAM.<\/li>\n
- En combinant ces ARN, le certificat client et sa cl\u00e9 priv\u00e9e, l\u2019attaquant proc\u00e8de \u00e0 l\u2019authentification via Roles\u00a0Anywhere.<\/li>\n
- Si la politique de confiance du r\u00f4le\u00a0IAM refuse l\u2019acc\u00e8s, l\u2019attaquant peut consulter les \u00ab\u00a0Subjects\u00a0\u00bb Roles\u00a0Anywhere pour identifier les d\u00e9tails d\u2019un certificat pr\u00e9c\u00e9demment utilis\u00e9 pour l\u2019authentification, puis reproduire ses champs dans un nouveau certificat client.<\/li>\n<\/ul>\n
Plus pr\u00e9cis\u00e9ment, un attaquant disposant de permissions suffisantes sur Roles\u00a0Anywhere peut cr\u00e9er un certificat, le signer avec son propre certificat\u00a0CA, puis l\u2019associer \u00e0 une nouvelle ancre de confiance ou \u00e0 une ancre existante. Cela n\u00e9cessite les permissions rolesanywhere:CreateTrustAnchor<\/span> ou rolesanywhere:UpdateTrustAnchor<\/span>.<\/p>\n\u00c9tant donn\u00e9 que l\u2019attaquant contr\u00f4le \u00e0 la fois le certificat client et le certificat\u00a0CA, le certificat sera consid\u00e9r\u00e9 comme valide. L\u2019\u00e9tape suivante consiste \u00e0 identifier les profils et les r\u00f4les disponibles en utilisant la commande list-profiles<\/span> du service Roles\u00a0Anywhere ou l\u2019une des autres techniques \u00e9voqu\u00e9es pr\u00e9c\u00e9demment.<\/p>\nAvec ces informations, l\u2019attaquant peut g\u00e9n\u00e9rer des identifiants via Roles\u00a0Anywhere et effectuer des op\u00e9rations dans le contexte du r\u00f4le utilis\u00e9.<\/p>\n
Si les mesures de s\u00e9curit\u00e9 de l\u2019organisation cibl\u00e9e ne d\u00e9tectent pas l\u2019activit\u00e9 malveillante, ce processus peut \u00e9galement servir de vecteur de persistance\u00a0: l\u2019ancre de confiance permet en effet de g\u00e9n\u00e9rer des identifiants valides tant que le probl\u00e8me n\u2019est pas corrig\u00e9.<\/p>\n
<\/a>Mesures d\u2019att\u00e9nuation et recommandations<\/h2>\n\n- Nous recommandons vivement d\u2019ajouter des conditions \u00e0 la politique de confiance par d\u00e9faut des r\u00f4les utilis\u00e9s avec Roles\u00a0Anywhere.<\/strong> Comme mentionn\u00e9 pr\u00e9c\u00e9demment, la politique par d\u00e9faut autorise toute ancre de confiance \u00e0 assumer le r\u00f4le. Il est donc essentiel de restreindre l\u2019acc\u00e8s \u00e0 ce r\u00f4le \u00e0 une seule ancre de confiance\u00a0: celle utilis\u00e9e pour authentifier la charge de travail concern\u00e9e.<\/li>\n<\/ul>\n
\"Condition\": {\r\n\r\n\"ArnEquals\": {\r\n\r\n\"aws:SourceArn\": [\r\n\r\n\"arn:aws:rolesanywhere:region:account:trust-anchor\/TA_ID\"\r\n\r\n]\r\n\r\n}\r\n\r\n}<\/pre>\nDes conditions suppl\u00e9mentaires doivent \u00e9galement \u00eatre mises en place afin de limiter l\u2019acc\u00e8s uniquement aux certificats pr\u00e9sentant certains attributs, comme Common\u00a0Name ou Organization. Toutefois, ces conditions ne constituent pas une solution miracle et peuvent \u00eatre contourn\u00e9es dans certains cas, par exemple si un attaquant parvient \u00e0 extraire les informations d\u2019attributs \u00e0 partir du certificat.<\/p>\n
\n- Nous recommandons d\u2019utiliser des ancres de confiance de type\u00a0ACM-PCA.<\/strong> Ce faisant, m\u00eame un attaquant disposant d\u2019un acc\u00e8s complet au service Roles Anywhere ne pourra pas t\u00e9l\u00e9verser son propre certificat CA dans l\u2019ancre de confiance. Le type d\u2019ancre ne pouvant pas \u00eatre modifi\u00e9, des autorisations ACM-PCA sp\u00e9cifiques (et rarement attribu\u00e9es) seront n\u00e9cessaires pour authentifier une entit\u00e9.\n
\n- Il s'agit l\u00e0 d'un point crucial. Si les r\u00f4les cens\u00e9s \u00eatre assum\u00e9s par les ancres de confiance utilisent la condition mentionn\u00e9e dans le point pr\u00e9c\u00e9dent, ils ne pourront pas \u00eatre accessibles. Il convient toutefois de noter que les autorit\u00e9s de certification priv\u00e9es dans AWS pr\u00e9sentent leurs propres consid\u00e9rations de s\u00e9curit\u00e9 et peuvent elles aussi constituer un risque si elles ne sont pas correctement configur\u00e9es.<\/li>\n<\/ul>\n<\/li>\n
- Les autorisations doivent toujours \u00eatre attribu\u00e9es selon le principe du moindre privil\u00e8ge.<\/strong> L\u2019authentification via Roles\u00a0Anywhere est g\u00e9n\u00e9ralement accord\u00e9e \u00e0 des identit\u00e9s non humaines, et les dispositifs qui utilisent ce service ont en principe des t\u00e2ches sp\u00e9cifiques et pr\u00e9d\u00e9finies \u00e0 accomplir. Par cons\u00e9quent, le niveau d\u2019acc\u00e8s de ces identit\u00e9s ne doit pas d\u00e9passer les exigences strictes li\u00e9es aux t\u00e2ches qui leur sont assign\u00e9es. En compl\u00e9ment des r\u00f4les IAM eux-m\u00eames, il est \u00e9galement possible d\u2019associer une politique de session \u00e0 un profil. Cette politique d\u00e9finit les autorisations maximales qu\u2019un r\u00f4le peut obtenir lorsqu\u2019il est assum\u00e9 via Roles\u00a0Anywhere.<\/li>\n
- Surveillez et tracez r\u00e9guli\u00e8rement les ressources AWS\u00a0IAM Roles\u00a0Anywhere\u00a0:<\/strong> il est essentiel de maintenir une surveillance continue des ancres de confiance, des profils et des ressources associ\u00e9es. \u00c9tant donn\u00e9 que les ancres de confiance et les profils ne sont pas cr\u00e9\u00e9s fr\u00e9quemment, leur cr\u00e9ation ou leur modification constitue un \u00e9v\u00e9nement potentiellement suspect. Toute modification inattendue de ces ressources doit \u00eatre imm\u00e9diatement analys\u00e9e afin de v\u00e9rifier qu\u2019aucune activit\u00e9 non autoris\u00e9e n\u2019est en cours. Des audits r\u00e9guliers et des alertes automatis\u00e9es permettent de d\u00e9tecter et de traiter rapidement d\u2019\u00e9ventuelles menaces de s\u00e9curit\u00e9.<\/li>\n
- Ex\u00e9cutez la requ\u00eate\u00a0XQL suivante dans Cortex\u00a0Query\u00a0Builder pour identifier les r\u00f4les qui font confiance au service Roles\u00a0Anywhere sans appliquer de conditions de restriction.<\/li>\n<\/ul>\n
dataset = asset_inventory\r\n\r\n| filter xdm.asset.type.id = \"AWS_IAM_ROLE\" and xdm.asset.raw_fields != null\r\n\r\n| fields xdm.asset.id as asset_id, xdm.asset.raw_fields\r\n\r\n| alter statements = json_extract_array(xdm.asset.raw_fields, \"$['Platform Discovery'].Role.AssumeRolePolicyDocument.Statement\")\r\n\r\n| arrayexpand statements\r\n\r\n| alter principal = json_extract(statements ,\"$.Principal\")\r\n\r\n| alter condition = json_extract(statements, \"$.Condition\")\r\n\r\n| alter service1 = json_extract_scalar(principal ,\"$.Service\")\r\n\r\n| alter service1_array = if(service1 != null, arraycreate(service1), arraycreate(\"null\"))\r\n\r\n| alter serviceA = json_extract_scalar_array(principal ,\"$.Service\")\r\n\r\n| alter service = if(service1 != null, service1_array ,serviceA)\r\n\r\n| arrayexpand service\r\n\r\n| filter service = \"rolesanywhere.amazonaws.com\"\r\n\r\n| fields asset_id, service, condition, principal, statements, xdm.asset.raw_fields\r\n\r\n| alter is_condition_empty = if(condition != null, false, true)\r\n\r\n| filter is_condition_empty = true<\/pre>\nConclusion<\/strong><\/h2>\nCet article a examin\u00e9 les principaux risques li\u00e9s \u00e0 l\u2019utilisation des configurations par d\u00e9faut du service Roles\u00a0Anywhere d\u2019AWS, tant du point de vue d\u2019un attaquant potentiel que de celui d\u2019un d\u00e9fenseur. Nous avons pr\u00e9sent\u00e9 plusieurs strat\u00e9gies d\u2019att\u00e9nuation que les organisations devraient mettre en \u0153uvre pour mieux g\u00e9rer ces risques. Nous esp\u00e9rons que cette analyse aidera les lecteurs \u00e0 mieux comprendre les vuln\u00e9rabilit\u00e9s potentielles associ\u00e9es \u00e0 la configuration par d\u00e9faut de ce service, ainsi que les meilleures pratiques pour les att\u00e9nuer.<\/p>\n
Un enseignement cl\u00e9 de cet article est qu\u2019il est essentiel, lors de l\u2019utilisation de services propos\u00e9s par des fournisseurs\u00a0cloud, de bien comprendre leur configuration et leur architecture, plut\u00f4t que de s\u2019y fier aveugl\u00e9ment.<\/p>\n
\n- Appliquer les bonnes pratiques de s\u00e9curit\u00e9, le principe du moindre privil\u00e8ge et une approche de d\u00e9fense int\u00e9gr\u00e9e.<\/li>\n
- Cela permet de garantir que les services sont correctement architectur\u00e9s et surveill\u00e9s en cas de modification de leur configuration.<\/li>\n
- La mise en place d\u2019une surveillance en temps r\u00e9el contribue \u00e0 assurer la s\u00e9curit\u00e9 des environnements\u00a0cloud personnalis\u00e9s.<\/li>\n<\/ul>\n
Cortex\u00a0Cloud<\/a> vous prot\u00e8ge contre les configurations erron\u00e9es de l\u2019infrastructure \u00e0 cl\u00e9 publique (PKI) d\u00e9crites dans cet article. Gr\u00e2ce \u00e0 des r\u00e8gles bas\u00e9es sur les agents\u00a0Cloud\u00a0XDR ainsi qu\u2019\u00e0 des r\u00e8gles d\u2019analyse comportementale, Cortex\u00a0Cloud est capable de d\u00e9tecter et de bloquer les usages abusifs des politiques\u00a0IAM, tout en automatisant la r\u00e9ponse via les capacit\u00e9s de la plateforme\u00a0XSOAR.<\/p>\nLes organisations peuvent b\u00e9n\u00e9ficier d\u2019un accompagnement pour \u00e9valuer leur posture de s\u00e9curit\u00e9\u00a0cloud gr\u00e2ce \u00e0 l\u2019\u00e9valuation de s\u00e9curit\u00e9\u00a0cloud d\u2019Unit\u00a042<\/a>.<\/p>\nSi vous pensez avoir \u00e9t\u00e9 compromis ou en cas de question urgente, prenez contact avec l\u2019\u00e9quipe de r\u00e9ponse \u00e0 incident d\u2019Unit\u00a042<\/a> ou appelez les num\u00e9ros suivants\u00a0:<\/p>\n\n- Am\u00e9rique du Nord\u00a0: Gratuit\u00a0: +1 (866) 486-4842 (866.4.UNIT42)<\/li>\n
- ROYAUME-UNI\u00a0: +44.20.3743.3660<\/li>\n
- Europe et Moyen-Orient\u00a0: +31.20.299.3130<\/li>\n
- Asie\u00a0: +65.6983.8730<\/li>\n
- Japon\u00a0: +81.50.1790.0200<\/li>\n
- Australie\u00a0: +61.2.4062.7950<\/li>\n
- Inde\u00a0: 00080005045107<\/li>\n<\/ul>\n
Palo\u00a0Alto\u00a0Networks a partag\u00e9 ces r\u00e9sultats avec les membres de la Cyber\u00a0Threat\u00a0Alliance (CTA). Les membres de la CTA utilisent ces renseignements pour d\u00e9ployer rapidement des mesures de protection aupr\u00e8s de leurs clients et pour perturber syst\u00e9matiquement les cyberacteurs malveillants. En savoir plus sur la Cyber Threat Alliance<\/a>.<\/p>\n<\/a>Ressources compl\u00e9mentaires<\/h2>\n\n- Le principe du moindre privil\u00e8ge\u00a0:<\/a> les explications-\u00a0Palo\u00a0Alto\u00a0Networks<\/li>\n
- Le mod\u00e8le de confiance\u00a0IAM de Roles\u00a0Anywhere<\/a> -\u00a0Documentation officielle d'Amazon Web Services<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"
Cet aper\u00e7u du service\u00a0AWS Roles\u00a0Anywhere examine les risques potentiels tant du point de vue du d\u00e9fenseur que de celui de l\u2019attaquant.<\/p>\n","protected":false},"author":366,"featured_media":142580,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[8724,8832],"tags":[9293,9294],"product_categories":[9041,9046,9068,9151],"coauthors":[8916],"class_list":["post-145428","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cloud-cybersecurity-research-fr","category-threat-research-fr","tag-aws-fr","tag-kubernetes-fr","product_categories-cortex-fr","product_categories-cortex-cloud-fr","product_categories-cortex-xsoar-fr","product_categories-unit-42-incident-response-fr"],"yoast_head":"\n
Des r\u00f4les par ci, des r\u00f4les par l\u00e0, des r\u00f4les partout ! Explorons la s\u00e9curit\u00e9 d'AWS IAM Roles Anywhere<\/title>\n<meta name=\"description\" content=\"Cet aper\u00e7u du service\u00a0AWS Roles\u00a0Anywhere examine les risques potentiels tant du point de vue du d\u00e9fenseur que de celui de l\u2019attaquant. Cet aper\u00e7u du service\u00a0AWS Roles\u00a0Anywhere examine les risques potentiels tant du point de vue du d\u00e9fenseur que de celui de l\u2019attaquant.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/aws-roles-anywhere\/\" \/>\n<meta property=\"og:locale\" content=\"fr_FR\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Des r\u00f4les par ci, des r\u00f4les par l\u00e0, des r\u00f4les partout ! Explorons la s\u00e9curit\u00e9 d'AWS IAM Roles Anywhere\" \/>\n<meta property=\"og:description\" content=\"Cet aper\u00e7u du service\u00a0AWS Roles\u00a0Anywhere examine les risques potentiels tant du point de vue du d\u00e9fenseur que de celui de l\u2019attaquant. Cet aper\u00e7u du service\u00a0AWS Roles\u00a0Anywhere examine les risques potentiels tant du point de vue du d\u00e9fenseur que de celui de l\u2019attaquant.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/unit42.paloaltonetworks.com\/fr\/aws-roles-anywhere\/\" \/>\n<meta property=\"og:site_name\" content=\"Unit 42\" \/>\n<meta property=\"article:published_time\" content=\"2025-06-09T16:09:45+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2025-07-07T18:55:18+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/06\/01_Cloud_cybersecurity_research_Overview_1920x900.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"1920\" \/>\n\t<meta property=\"og:image:height\" content=\"900\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Itay Saraf\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"Des r\u00f4les par ci, des r\u00f4les par l\u00e0, des r\u00f4les partout ! Explorons la s\u00e9curit\u00e9 d'AWS IAM Roles Anywhere","description":"Cet aper\u00e7u du service\u00a0AWS Roles\u00a0Anywhere examine les risques potentiels tant du point de vue du d\u00e9fenseur que de celui de l\u2019attaquant. Cet aper\u00e7u du service\u00a0AWS Roles\u00a0Anywhere examine les risques potentiels tant du point de vue du d\u00e9fenseur que de celui de l\u2019attaquant.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/unit42.paloaltonetworks.com\/fr\/aws-roles-anywhere\/","og_locale":"fr_FR","og_type":"article","og_title":"Des r\u00f4les par ci, des r\u00f4les par l\u00e0, des r\u00f4les partout ! Explorons la s\u00e9curit\u00e9 d'AWS IAM Roles Anywhere","og_description":"Cet aper\u00e7u du service\u00a0AWS Roles\u00a0Anywhere examine les risques potentiels tant du point de vue du d\u00e9fenseur que de celui de l\u2019attaquant. Cet aper\u00e7u du service\u00a0AWS Roles\u00a0Anywhere examine les risques potentiels tant du point de vue du d\u00e9fenseur que de celui de l\u2019attaquant.","og_url":"https:\/\/unit42.paloaltonetworks.com\/fr\/aws-roles-anywhere\/","og_site_name":"Unit 42","article_published_time":"2025-06-09T16:09:45+00:00","article_modified_time":"2025-07-07T18:55:18+00:00","og_image":[{"width":1920,"height":900,"url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/06\/01_Cloud_cybersecurity_research_Overview_1920x900.jpg","type":"image\/jpeg"}],"author":"Itay Saraf","twitter_card":"summary_large_image","schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/aws-roles-anywhere\/#article","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/aws-roles-anywhere\/"},"author":{"name":"Sheida Azimi","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639"},"headline":"Des r\u00f4les par ci, des r\u00f4les par l\u00e0, des r\u00f4les partout ! Explorons la s\u00e9curit\u00e9 d'AWS IAM Roles Anywhere","datePublished":"2025-06-09T16:09:45+00:00","dateModified":"2025-07-07T18:55:18+00:00","mainEntityOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/aws-roles-anywhere\/"},"wordCount":3817,"commentCount":0,"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/aws-roles-anywhere\/#primaryimage"},"thumbnailUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/06\/01_Cloud_cybersecurity_research_Overview_1920x900.jpg","keywords":["AWS","Kubernetes"],"articleSection":["\u00c9tudes sur la cybers\u00e9curit\u00e9 du cloud","Recherche sur les menaces"],"inLanguage":"fr-FR","potentialAction":[{"@type":"CommentAction","name":"Comment","target":["https:\/\/unit42.paloaltonetworks.com\/fr\/aws-roles-anywhere\/#respond"]}]},{"@type":"WebPage","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/aws-roles-anywhere\/","url":"https:\/\/unit42.paloaltonetworks.com\/fr\/aws-roles-anywhere\/","name":"Des r\u00f4les par ci, des r\u00f4les par l\u00e0, des r\u00f4les partout ! Explorons la s\u00e9curit\u00e9 d'AWS IAM Roles Anywhere","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#website"},"primaryImageOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/aws-roles-anywhere\/#primaryimage"},"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/aws-roles-anywhere\/#primaryimage"},"thumbnailUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/06\/01_Cloud_cybersecurity_research_Overview_1920x900.jpg","datePublished":"2025-06-09T16:09:45+00:00","dateModified":"2025-07-07T18:55:18+00:00","author":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639"},"description":"Cet aper\u00e7u du service\u00a0AWS Roles\u00a0Anywhere examine les risques potentiels tant du point de vue du d\u00e9fenseur que de celui de l\u2019attaquant. Cet aper\u00e7u du service\u00a0AWS Roles\u00a0Anywhere examine les risques potentiels tant du point de vue du d\u00e9fenseur que de celui de l\u2019attaquant.","breadcrumb":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/aws-roles-anywhere\/#breadcrumb"},"inLanguage":"fr-FR","potentialAction":[{"@type":"ReadAction","target":["https:\/\/unit42.paloaltonetworks.com\/fr\/aws-roles-anywhere\/"]}]},{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/aws-roles-anywhere\/#primaryimage","url":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/06\/01_Cloud_cybersecurity_research_Overview_1920x900.jpg","contentUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/06\/01_Cloud_cybersecurity_research_Overview_1920x900.jpg","width":1920,"height":900,"caption":"Pictorial representation of AWS Roles Anywhere. Futuristic cityscape with glowing orange and blue structures, elevated clouds, and illuminated, scattered points representing lights or data points."},{"@type":"BreadcrumbList","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/aws-roles-anywhere\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/unit42.paloaltonetworks.com\/"},{"@type":"ListItem","position":2,"name":"Des r\u00f4les par ci, des r\u00f4les par l\u00e0, des r\u00f4les partout ! Explorons la s\u00e9curit\u00e9 d'AWS IAM Roles Anywhere"}]},{"@type":"WebSite","@id":"https:\/\/unit42.paloaltonetworks.com\/#website","url":"https:\/\/unit42.paloaltonetworks.com\/","name":"Unit 42","description":"Palo Alto Networks","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/unit42.paloaltonetworks.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"fr-FR"},{"@type":"Person","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639","name":"Sheida Azimi","image":{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/image\/9213e49ea48b7676660bac40d05c9e3e","url":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","contentUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","caption":"Sheida Azimi"},"url":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/author\/sheida-azimi\/"}]}},"_links":{"self":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/145428","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/users\/366"}],"replies":[{"embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/comments?post=145428"}],"version-history":[{"count":2,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/145428\/revisions"}],"predecessor-version":[{"id":145507,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/145428\/revisions\/145507"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/media\/142580"}],"wp:attachment":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/media?parent=145428"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/categories?post=145428"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/tags?post=145428"},{"taxonomy":"product_categories","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/product_categories?post=145428"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/coauthors?post=145428"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
- \n
- Le certificat\u00a0ACM-PCA<\/strong> (AWS Certificate Manager \u2013\u00a0Private Certificate Authority), une ressource g\u00e9r\u00e9e par AWS.<\/li>\n
- Le bundle de certificats\u00a0:<\/strong> un certificat\u00a0X.509 encod\u00e9 au format\u00a0ASCII Privacy-Enhanced Mail (PEM), directement rattach\u00e9 au point d\u2019ancrage.<\/li>\n<\/ul>\n<\/li>\n
- Profils\u00a0:<\/strong> ces ressources d\u00e9terminent le niveau d\u2019acc\u00e8s accord\u00e9 \u00e0 une entit\u00e9 authentifi\u00e9e via Roles\u00a0Anywhere. Chaque profil est associ\u00e9 \u00e0 des r\u00f4les\u00a0IAM (gestion et acc\u00e8s des identit\u00e9s) qui d\u00e9finissent les autorisations, ainsi qu\u2019\u00e0 des m\u00e9canismes suppl\u00e9mentaires permettant d\u2019affiner ces droits d\u2019acc\u00e8s.<\/li>\n
- R\u00f4les\u00a0IAM\u00a0:<\/strong> ces r\u00f4les sont associ\u00e9s aux v\u00e9ritables politiques\u00a0IAM, qui octroient (ou restreignent) les autorisations d\u2019acc\u00e8s aux ressources\u00a0AWS.<\/li>\n<\/ul>\n
![\"Diagramme]()
Figure 1 : Vue d\u00e9taill\u00e9e du processus d'authentification.<\/figcaption><\/figure>\n En pratique, l\u2019authentification via Roles\u00a0Anywhere s\u2019effectue en envoyant une requ\u00eate vers le terminal \/sessions<\/span>. Cette requ\u00eate est sign\u00e9e \u00e0 l\u2019aide de la cl\u00e9 priv\u00e9e du certificat et inclut, comme param\u00e8tres, l\u2019Amazon\u00a0Resource\u00a0Name (ARN) de l\u2019ancrage de confiance (Trust\u00a0Anchor), ainsi que les ARN du profil et du r\u00f4le.<\/p>\n
La mani\u00e8re la plus simple de composer cette requ\u00eate consiste \u00e0 utiliser l\u2019outil aws_signing_helper<\/a><\/span>. Cet utilitaire automatise le processus d\u2019authentification et peut \u00e9galement rendre les identifiants disponibles localement en \u00e9mulant le terminal de l\u2019Instance Metadata Service, \u00e0 l\u2019image du fonctionnement des instances\u00a0Amazon Elastic Compute Cloud (EC2).<\/p>\n
La figure 2 pr\u00e9sente des exemples de requ\u00eates et de r\u00e9ponses dans le cadre de l\u2019authentification avec Roles\u00a0Anywhere.<\/p>\n
![\"Capture]()
Figure 2. Exemples de requ\u00eates et de r\u00e9ponses lors de l\u2019authentification via Roles Anywhere.<\/figcaption><\/figure>\n <\/a>Utilisation courante de Roles\u00a0Anywhere<\/h3>\n
Pour mieux comprendre le processus de configuration de Roles\u00a0Anywhere, prenons l\u2019exemple suivant\u00a0:<\/p>\n
- \n
- Un pod\u00a0Kubernetes situ\u00e9 en dehors d\u2019AWS a besoin d\u2019un acc\u00e8s pour lire des objets dans un bucket\u00a0Amazon\u00a0S3.<\/li>\n
- L\u2019ing\u00e9nieur\u00a0cloud \u00e9met un certificat et le signe \u00e0 l\u2019aide du certificat du point d\u2019ancrage de confiance. Le certificat sign\u00e9 est ensuite stock\u00e9 dans le pod, avec sa cl\u00e9 priv\u00e9e.<\/li>\n
- L\u2019ing\u00e9nieur cr\u00e9e un r\u00f4le\u00a0IAM comprenant les autorisations\u00a0S3 n\u00e9cessaires et l\u2019associe \u00e0 un profil Roles\u00a0Anywhere.<\/li>\n
- Le pod\u00a0Kubernetes peut alors utiliser le certificat, ainsi que les identifiants li\u00e9s au r\u00f4le et la cl\u00e9 priv\u00e9e, pour signer les requ\u00eates, s\u2019authentifier et lire les objets du bucket\u00a0S3 configur\u00e9.<\/li>\n<\/ul>\n
<\/a>S\u00e9curisation du processus d\u2019authentification par d\u00e9faut<\/h2>\n
Un aspect int\u00e9ressant de ce processus d\u2019authentification r\u00e9side dans le fait qu\u2019il n\u2019existe, par d\u00e9faut, aucune corr\u00e9lation entre une ancre de confiance et un profil sp\u00e9cifique. Il est essentiel que les organisations comprennent les risques associ\u00e9s \u00e0 cette configuration et configurentcorrectement les ressources Roles\u00a0Anywhere ainsi que les politiques de confiance des r\u00f4les\u00a0IAM.<\/p>\n
Autrement dit, les organisations doivent veiller \u00e0 ce que chaque certificat client soit sign\u00e9 par une ancre de confiance sp\u00e9cifique et destin\u00e9 \u00e0 un profil bien d\u00e9fini. Cela permet d\u2019emp\u00eacher tout acc\u00e8s non autoris\u00e9 \u00e0 d\u2019autres profils ou ancres de confiance au sein du m\u00eame compte\u00a0AWS et de la m\u00eame r\u00e9gion.<\/p>\n
Pour illustrer les cons\u00e9quences potentielles de ce processus, reprenons l\u2019exemple du pod mentionn\u00e9 pr\u00e9c\u00e9demment. Jusqu\u2019ici, les \u00e9tapes suivies sont l\u00e9gitimes. Le pod dispose exactement des autorisations dont il a besoin, ni plus ni moins.<\/p>\n
Mais que se passerait-il si un attaquant parvenait \u00e0 acc\u00e9der au pod\u00a0? Si d'autres profils ont \u00e9t\u00e9 cr\u00e9\u00e9s dans le m\u00eame compte et la m\u00eame r\u00e9gion\u00a0AWS, l'attaquant pourrait utiliser le certificat pour obtenir un acc\u00e8s aux r\u00f4les associ\u00e9s \u00e0 ces profils\u00a0:<\/p>\n
- \n
- L\u2019attaquant pourrait d\u00e9duire les ARN d\u2019un autre r\u00f4le\u00a0IAM rattach\u00e9 au m\u00eame profil, ou bien les ARN et les r\u00f4les associ\u00e9s \u00e0 un autre profil. D\u00e9duire ces ARN est une op\u00e9ration complexe qui n\u00e9cessite des autorisations suppl\u00e9mentaires dans l\u2019environnement\u00a0AWS. Nous aborderons ces techniques plus loin dans l\u2019article.<\/a><\/li>\n
- Une fois toutes les informations n\u00e9cessaires r\u00e9unies, l\u2019attaquant peut formuler des requ\u00eates afin d\u2019obtenir des identifiants temporaires pour diff\u00e9rents r\u00f4les, et exploiter leurs autorisations pour mener des op\u00e9rations malveillantes.<\/li>\n<\/ul>\n
AWS propose plusieurs moyens<\/a> de restreindre l\u2019acc\u00e8s via Roles\u00a0Anywhere, notamment en utilisant des conditions<\/strong> dans la politique de confiance du r\u00f4le. Toutefois, la politique de confiance par d\u00e9faut de Roles Anywhere ne comporte aucune condition dans sa d\u00e9claration<\/strong>. Cela signifie que tout environnement utilisant cette configuration par d\u00e9faut ne b\u00e9n\u00e9ficie d\u2019aucune restriction d\u2019acc\u00e8s. Il incombe donc \u00e0 chaque organisation de s\u2019assurer qu\u2019elle ne repose pas sur les param\u00e8tres par d\u00e9faut pour la configuration de Roles\u00a0Anywhere.<\/p>\n
Lors de la cr\u00e9ation d\u2019un r\u00f4le par d\u00e9faut utilis\u00e9 pour Roles\u00a0Anywhere, la politique de confiance suivante est d\u00e9finie\u00a0:<\/p>\n
{\r\n\r\n\"Version\": \"2012-10-17\",\r\n\r\n\"Statement\": [\r\n\r\n{\r\n\r\n\"Sid\": \"\",\r\n\r\n\"Effect\": \"Allow\",\r\n\r\n\"Principal\": {\r\n\r\n\"Service\": \"rolesanywhere.amazonaws.com\"\r\n\r\n},\r\n\r\n\"Action\": [\r\n\r\n\"sts:AssumeRole\",\r\n\r\n\"sts:SetSourceIdentity\",\r\n\r\n\"sts:TagSession\"\r\n\r\n]\r\n\r\n}\r\n\r\n]\r\n\r\n}<\/pre>\nCette politique indique que ce r\u00f4le peut \u00eatre assum\u00e9 par le service Roles\u00a0Anywhere.<\/strong> Cependant, elle ne comporte aucune autre restriction quant aux sources autoris\u00e9es \u00e0 l\u2019assumer. Cela signifie que si un r\u00f4le est associ\u00e9 \u00e0 un profil, tout certificat sign\u00e9 par un ancrage de confiance dans la m\u00eame r\u00e9gion peut assumer ce r\u00f4le.<\/p>\n
Pour rem\u00e9dier \u00e0 cela, AWS a introduit la section\u00a0Condition dans les politiques. Cette section permet d\u2019imposer des restrictions suppl\u00e9mentaires aux ressources, en sp\u00e9cifiant les exigences qu\u2019elles doivent remplir pour pouvoir ex\u00e9cuter une action donn\u00e9e.<\/p>\n
La politique suivante ajoute une section\u00a0Condition \u00e0 la politique par d\u00e9faut, afin de restreindre l\u2019acc\u00e8s au r\u00f4le via l\u2019authentification Roles\u00a0Anywhere uniquement \u00e0 partir d\u2019une autorit\u00e9 de confiance sp\u00e9cifique.<\/p>\n
{\r\n\r\n\"Version\": \"2012-10-17\",\r\n\r\n\"Statement\": [\r\n\r\n{\r\n\r\n\"Sid\": \"\",\r\n\r\n\"Effect\": \"Allow\",\r\n\r\n\"Principal\": {\r\n\r\n\"Service\": \"rolesanywhere.amazonaws.com\"\r\n\r\n},\r\n\r\n\"Action\": [\r\n\r\n\"sts:AssumeRole\",\r\n\r\n\"sts:SetSourceIdentity\",\r\n\r\n\"sts:TagSession\"\r\n\r\n],\r\n\r\n\"Condition\": {\r\n\r\n\"ArnEquals\": {\r\n\r\n\"aws:SourceArn\": [\r\n\r\n\"arn:aws:rolesanywhere:region:account:trust-anchor\/TA_ID\"\r\n\r\n]\r\n\r\n}\r\n\r\n}\r\n\r\n}\r\n\r\n]\r\n\r\n}<\/pre>\nPour restreindre encore davantage l\u2019acc\u00e8s des certificats sign\u00e9s, nous recommandons d\u2019utiliser la fonctionnalit\u00e9 de mappage des attributs de certificat<\/strong>. AWS recommande \u00e9galement cette approche dans la documentation de Roles Anywhere<\/a>\u00a0:<\/p>\n
![\"Notification]()
Figure 3. Recommandation d\u2019AWS pour l\u2019utilisation du mappage d'attributs.<\/figcaption><\/figure>\n Concr\u00e8tement, il est possible d\u2019associer les attributs d\u2019un certificat \u00e0 des valeurs qui seront \u00e9valu\u00e9es dans la politique de confiance. On peut ainsi restreindre l\u2019acc\u00e8s \u00e0 des r\u00f4les en fonction du nom commun (Common Name), de l\u2019unit\u00e9 d\u2019organisation ou de tout autre attribut pr\u00e9sent dans le certificat.<\/p>\n
Cette approche est vivement recommand\u00e9e, car elle permet de garantir que, m\u00eame si une ressource utilisant Roles\u00a0Anywhere pour s\u2019authentifier est compromise, elle ne pourra pas acc\u00e9der \u00e0 d\u2019autres r\u00f4les.<\/p>\n
La condition suivante combine la restriction par ancrage de confiance mentionn\u00e9e pr\u00e9c\u00e9demment avec une limitation d\u2019acc\u00e8s fond\u00e9e sur les attributs du certificat\u00a0:<\/p>\n
\"Condition\": {\r\n\r\n\"ArnEquals\": {\r\n\r\n\"aws:SourceArn\": [\r\n\r\n\"arn:aws:rolesanywhere:region:account:trust-anchor\/TA_ID\"\r\n\r\n]\r\n\r\n},\r\n\r\n\"StringEquals\": {\r\n\r\n\"aws:PrincipalTag\/x509Subject\/CN\": \"COMMON_NAME\"\r\n\r\n}\r\n\r\n}<\/pre>\nComme pour tout autre service, le principe du moindre privil\u00e8ge doit \u00eatre appliqu\u00e9 lors de la mise en place de l\u2019infrastructure Roles\u00a0Anywhere. L\u2019utilisation du mappage des attributs du certificat permet de le mettre en \u0153uvre efficacement.<\/p>\n
<\/a>La perspective de l\u2019attaquant<\/h2>\n
<\/a>Sc\u00e9nario n\u00b01 \u2013\u00a0Utilisation de certificats et de cl\u00e9s priv\u00e9es valides par un attaquant<\/h3>\n
Comme indiqu\u00e9 pr\u00e9c\u00e9demment, les \u00e9l\u00e9ments suivants sont n\u00e9cessaires pour s\u2019authentifier via Roles\u00a0Anywhere\u00a0:<\/p>\n
- \n
- Le certificat client<\/li>\n
- La cl\u00e9 priv\u00e9e associ\u00e9e au certificat client<\/li>\n
- L\u2019ARN de l\u2019ancrage de confiance ayant sign\u00e9 le certificat<\/li>\n
- L\u2019ARN d\u2019un profil situ\u00e9 dans la m\u00eame r\u00e9gion<\/li>\n
- L\u2019ARN d\u2019un r\u00f4le IAM attach\u00e9 \u00e0 ce profil<\/li>\n<\/ul>\n
Dans le sc\u00e9nario suivant, un attaquant compromet une configuration par d\u00e9faut de Roles\u00a0Anywhere en s\u2019emparant d\u2019un certificat\u00a0client utilis\u00e9 pour l\u2019authentification, ainsi que de sa cl\u00e9 priv\u00e9e. Pour exploiter cette configuration par d\u00e9faut \u00e0 des fins malveillantes et acc\u00e9der \u00e0 d\u2019autres r\u00f4les dans le compte, l\u2019attaquant doit encore d\u00e9couvrir les ARN des ressources concern\u00e9es afin de pouvoir s\u2019authentifier aupr\u00e8s d\u2019AWS. Or, obtenir ces ARN n\u2019est pas une t\u00e2che facile\u00a0: cela n\u00e9cessite des privil\u00e8ges suppl\u00e9mentaires et ind\u00e9pendants au sein du compte.<\/p>\n
Les techniques suivantes peuvent \u00eatre utilis\u00e9es pour obtenir ces informations\u00a0:<\/p>\n
Utilisation des actions de Roles Anywhere: <\/strong>Un attaquant ayant obtenu des autorisations suffisantes sur le service Roles\u00a0Anywhere peut tout simplement ex\u00e9cuter des actions permettant de r\u00e9cup\u00e9rer les ARN n\u00e9cessaires. Il peut, par exemple, utiliser les actions list-trust-anchors<\/span> et list-profiles<\/span>, qui requi\u00e8rent respectivement les autorisations rolesanywhere:ListTrustAnchors<\/span> et rolesanywhere:ListProfiles<\/span>. La sortie de ces commandes fournit tous les ARN requis pour formuler une requ\u00eate d\u2019authentification, puisque la commande list-profiles<\/span> retourne \u00e9galement tous les r\u00f4les associ\u00e9s au profil.<\/p>\n
Exploitation des donn\u00e9es des journaux: <\/strong>CloudTrail<\/a> est le principal m\u00e9canisme de journalisation d'AWS. Un attaquant disposant d\u2019un acc\u00e8s ind\u00e9pendant aux journaux\u00a0CloudTrail (ou aux services de stockage qui les h\u00e9bergent) pourrait identifier des \u00e9l\u00e9ments cr\u00e9\u00e9s par le service Roles\u00a0Anywhere. Certains journaux\u00a0CloudTrail contiennent en effet tous les ARN n\u00e9cessaires au processus d\u2019authentification. Les \u00e9v\u00e9nements g\u00e9n\u00e9r\u00e9s par plusieurs actions du service Roles\u00a0Anywhere r\u00e9v\u00e8lent ces ARN dans les journaux.<\/p>\n
Le journal le plus pertinent est CreateSession<\/span>. Il est g\u00e9n\u00e9r\u00e9 lorsque le service Roles\u00a0Anywhere est utilis\u00e9 pour l\u2019authentification, c\u2019est-\u00e0-dire lorsqu\u2019il cr\u00e9e des informations d\u2019identification temporaires et les envoie \u00e0 l\u2019utilisateur. La figure\u00a03 montre un exemple d\u2019entr\u00e9e de journal CreateSession<\/span> et met en \u00e9vidence l\u2019ARN associ\u00e9.<\/p>\n
![\"Capture]()
Figure 4. Journal CloudTrail de l\u2019action CreateSession<\/span>.<\/figcaption><\/figure>\n Les ARN d\u2019un point d\u2019ancrage de confiance, d\u2019un profil et de l\u2019un des r\u00f4les qui lui sont associ\u00e9s apparaissent dans ce journal d\u2019\u00e9v\u00e9nement. Si le certificat de l\u2019attaquant a \u00e9t\u00e9 sign\u00e9 par le point d\u2019ancrage indiqu\u00e9 dans le journal, il pourra l\u2019utiliser pour s\u2019authentifier.<\/p>\n
La figure\u00a05 pr\u00e9sente une illustration d\u00e9taill\u00e9e des \u00e9tapes suivies par l\u2019attaquant.<\/p>\n
![\"Diagramme]()
Figure 5. Vue d'ensemble des \u00e9tapes suivies par l\u2019attaquant.<\/figcaption><\/figure>\n <\/a>Sc\u00e9nario\u00a0n\u00b0\u00a02 \u2013\u00a0Exploitation de permissions directes sur le service Roles\u00a0Anywhere<\/h3>\n
Un autre sc\u00e9nario dans lequel une configuration par d\u00e9faut du service Roles\u00a0Anywhere peut \u00eatre exploit\u00e9e survient lorsqu\u2019un attaquant acc\u00e8de \u00e0 une identit\u00e9 disposant de permissions sur ce service. Ces autorisations peuvent \u00eatre accord\u00e9es via une instruction\u00a0Allow<\/span> directe sur le service, ou de mani\u00e8re indirecte \u00e0 travers un \u00e9l\u00e9ment\u00a0NotAction<\/span>.<\/p>\n
Les \u00e9tapes suivantes peuvent \u00eatre utilis\u00e9es pour exploiter ces permissions\u00a0:<\/p>\n
- \n
- L\u2019attaquant acc\u00e8de \u00e0 une identit\u00e9 disposant d\u2019une configuration et de permissions par d\u00e9faut sur le service Roles\u00a0Anywhere.<\/li>\n
- Il cr\u00e9e deux certificats -\u00a0un certificat d\u2019autorit\u00e9 de certification (CA) et un certificat client\u00a0- puis utilise le certificat CA pour signer le certificat client. \u00c9tant \u00e0 l\u2019origine de la cr\u00e9ation, l\u2019attaquant d\u00e9tient \u00e9galement les cl\u00e9s priv\u00e9es associ\u00e9es \u00e0 ces certificats.<\/li>\n
- L\u2019attaquant utilise l\u2019identit\u00e9 compromise pour cr\u00e9er un point d\u2019ancrage de confiance et y associe le certificat\u00a0CA.<\/li>\n
- Gr\u00e2ce aux permissions de type \u00ab\u00a0list\u00a0\u00bb sur le service Roles\u00a0Anywhere, il r\u00e9cup\u00e8re les ARN des profils et des r\u00f4les\u00a0IAM.<\/li>\n
- En combinant ces ARN, le certificat client et sa cl\u00e9 priv\u00e9e, l\u2019attaquant proc\u00e8de \u00e0 l\u2019authentification via Roles\u00a0Anywhere.<\/li>\n
- Si la politique de confiance du r\u00f4le\u00a0IAM refuse l\u2019acc\u00e8s, l\u2019attaquant peut consulter les \u00ab\u00a0Subjects\u00a0\u00bb Roles\u00a0Anywhere pour identifier les d\u00e9tails d\u2019un certificat pr\u00e9c\u00e9demment utilis\u00e9 pour l\u2019authentification, puis reproduire ses champs dans un nouveau certificat client.<\/li>\n<\/ul>\n
Plus pr\u00e9cis\u00e9ment, un attaquant disposant de permissions suffisantes sur Roles\u00a0Anywhere peut cr\u00e9er un certificat, le signer avec son propre certificat\u00a0CA, puis l\u2019associer \u00e0 une nouvelle ancre de confiance ou \u00e0 une ancre existante. Cela n\u00e9cessite les permissions rolesanywhere:CreateTrustAnchor<\/span> ou rolesanywhere:UpdateTrustAnchor<\/span>.<\/p>\n
\u00c9tant donn\u00e9 que l\u2019attaquant contr\u00f4le \u00e0 la fois le certificat client et le certificat\u00a0CA, le certificat sera consid\u00e9r\u00e9 comme valide. L\u2019\u00e9tape suivante consiste \u00e0 identifier les profils et les r\u00f4les disponibles en utilisant la commande list-profiles<\/span> du service Roles\u00a0Anywhere ou l\u2019une des autres techniques \u00e9voqu\u00e9es pr\u00e9c\u00e9demment.<\/p>\n
Avec ces informations, l\u2019attaquant peut g\u00e9n\u00e9rer des identifiants via Roles\u00a0Anywhere et effectuer des op\u00e9rations dans le contexte du r\u00f4le utilis\u00e9.<\/p>\n
Si les mesures de s\u00e9curit\u00e9 de l\u2019organisation cibl\u00e9e ne d\u00e9tectent pas l\u2019activit\u00e9 malveillante, ce processus peut \u00e9galement servir de vecteur de persistance\u00a0: l\u2019ancre de confiance permet en effet de g\u00e9n\u00e9rer des identifiants valides tant que le probl\u00e8me n\u2019est pas corrig\u00e9.<\/p>\n
<\/a>Mesures d\u2019att\u00e9nuation et recommandations<\/h2>\n
- \n
- Nous recommandons vivement d\u2019ajouter des conditions \u00e0 la politique de confiance par d\u00e9faut des r\u00f4les utilis\u00e9s avec Roles\u00a0Anywhere.<\/strong> Comme mentionn\u00e9 pr\u00e9c\u00e9demment, la politique par d\u00e9faut autorise toute ancre de confiance \u00e0 assumer le r\u00f4le. Il est donc essentiel de restreindre l\u2019acc\u00e8s \u00e0 ce r\u00f4le \u00e0 une seule ancre de confiance\u00a0: celle utilis\u00e9e pour authentifier la charge de travail concern\u00e9e.<\/li>\n<\/ul>\n
\"Condition\": {\r\n\r\n\"ArnEquals\": {\r\n\r\n\"aws:SourceArn\": [\r\n\r\n\"arn:aws:rolesanywhere:region:account:trust-anchor\/TA_ID\"\r\n\r\n]\r\n\r\n}\r\n\r\n}<\/pre>\nDes conditions suppl\u00e9mentaires doivent \u00e9galement \u00eatre mises en place afin de limiter l\u2019acc\u00e8s uniquement aux certificats pr\u00e9sentant certains attributs, comme Common\u00a0Name ou Organization. Toutefois, ces conditions ne constituent pas une solution miracle et peuvent \u00eatre contourn\u00e9es dans certains cas, par exemple si un attaquant parvient \u00e0 extraire les informations d\u2019attributs \u00e0 partir du certificat.<\/p>\n
- \n
- Nous recommandons d\u2019utiliser des ancres de confiance de type\u00a0ACM-PCA.<\/strong> Ce faisant, m\u00eame un attaquant disposant d\u2019un acc\u00e8s complet au service Roles Anywhere ne pourra pas t\u00e9l\u00e9verser son propre certificat CA dans l\u2019ancre de confiance. Le type d\u2019ancre ne pouvant pas \u00eatre modifi\u00e9, des autorisations ACM-PCA sp\u00e9cifiques (et rarement attribu\u00e9es) seront n\u00e9cessaires pour authentifier une entit\u00e9.\n
- \n
- Il s'agit l\u00e0 d'un point crucial. Si les r\u00f4les cens\u00e9s \u00eatre assum\u00e9s par les ancres de confiance utilisent la condition mentionn\u00e9e dans le point pr\u00e9c\u00e9dent, ils ne pourront pas \u00eatre accessibles. Il convient toutefois de noter que les autorit\u00e9s de certification priv\u00e9es dans AWS pr\u00e9sentent leurs propres consid\u00e9rations de s\u00e9curit\u00e9 et peuvent elles aussi constituer un risque si elles ne sont pas correctement configur\u00e9es.<\/li>\n<\/ul>\n<\/li>\n
- Les autorisations doivent toujours \u00eatre attribu\u00e9es selon le principe du moindre privil\u00e8ge.<\/strong> L\u2019authentification via Roles\u00a0Anywhere est g\u00e9n\u00e9ralement accord\u00e9e \u00e0 des identit\u00e9s non humaines, et les dispositifs qui utilisent ce service ont en principe des t\u00e2ches sp\u00e9cifiques et pr\u00e9d\u00e9finies \u00e0 accomplir. Par cons\u00e9quent, le niveau d\u2019acc\u00e8s de ces identit\u00e9s ne doit pas d\u00e9passer les exigences strictes li\u00e9es aux t\u00e2ches qui leur sont assign\u00e9es. En compl\u00e9ment des r\u00f4les IAM eux-m\u00eames, il est \u00e9galement possible d\u2019associer une politique de session \u00e0 un profil. Cette politique d\u00e9finit les autorisations maximales qu\u2019un r\u00f4le peut obtenir lorsqu\u2019il est assum\u00e9 via Roles\u00a0Anywhere.<\/li>\n
- Surveillez et tracez r\u00e9guli\u00e8rement les ressources AWS\u00a0IAM Roles\u00a0Anywhere\u00a0:<\/strong> il est essentiel de maintenir une surveillance continue des ancres de confiance, des profils et des ressources associ\u00e9es. \u00c9tant donn\u00e9 que les ancres de confiance et les profils ne sont pas cr\u00e9\u00e9s fr\u00e9quemment, leur cr\u00e9ation ou leur modification constitue un \u00e9v\u00e9nement potentiellement suspect. Toute modification inattendue de ces ressources doit \u00eatre imm\u00e9diatement analys\u00e9e afin de v\u00e9rifier qu\u2019aucune activit\u00e9 non autoris\u00e9e n\u2019est en cours. Des audits r\u00e9guliers et des alertes automatis\u00e9es permettent de d\u00e9tecter et de traiter rapidement d\u2019\u00e9ventuelles menaces de s\u00e9curit\u00e9.<\/li>\n
- Ex\u00e9cutez la requ\u00eate\u00a0XQL suivante dans Cortex\u00a0Query\u00a0Builder pour identifier les r\u00f4les qui font confiance au service Roles\u00a0Anywhere sans appliquer de conditions de restriction.<\/li>\n<\/ul>\n
dataset = asset_inventory\r\n\r\n| filter xdm.asset.type.id = \"AWS_IAM_ROLE\" and xdm.asset.raw_fields != null\r\n\r\n| fields xdm.asset.id as asset_id, xdm.asset.raw_fields\r\n\r\n| alter statements = json_extract_array(xdm.asset.raw_fields, \"$['Platform Discovery'].Role.AssumeRolePolicyDocument.Statement\")\r\n\r\n| arrayexpand statements\r\n\r\n| alter principal = json_extract(statements ,\"$.Principal\")\r\n\r\n| alter condition = json_extract(statements, \"$.Condition\")\r\n\r\n| alter service1 = json_extract_scalar(principal ,\"$.Service\")\r\n\r\n| alter service1_array = if(service1 != null, arraycreate(service1), arraycreate(\"null\"))\r\n\r\n| alter serviceA = json_extract_scalar_array(principal ,\"$.Service\")\r\n\r\n| alter service = if(service1 != null, service1_array ,serviceA)\r\n\r\n| arrayexpand service\r\n\r\n| filter service = \"rolesanywhere.amazonaws.com\"\r\n\r\n| fields asset_id, service, condition, principal, statements, xdm.asset.raw_fields\r\n\r\n| alter is_condition_empty = if(condition != null, false, true)\r\n\r\n| filter is_condition_empty = true<\/pre>\n
Conclusion<\/strong><\/h2>\n
Cet article a examin\u00e9 les principaux risques li\u00e9s \u00e0 l\u2019utilisation des configurations par d\u00e9faut du service Roles\u00a0Anywhere d\u2019AWS, tant du point de vue d\u2019un attaquant potentiel que de celui d\u2019un d\u00e9fenseur. Nous avons pr\u00e9sent\u00e9 plusieurs strat\u00e9gies d\u2019att\u00e9nuation que les organisations devraient mettre en \u0153uvre pour mieux g\u00e9rer ces risques. Nous esp\u00e9rons que cette analyse aidera les lecteurs \u00e0 mieux comprendre les vuln\u00e9rabilit\u00e9s potentielles associ\u00e9es \u00e0 la configuration par d\u00e9faut de ce service, ainsi que les meilleures pratiques pour les att\u00e9nuer.<\/p>\n
Un enseignement cl\u00e9 de cet article est qu\u2019il est essentiel, lors de l\u2019utilisation de services propos\u00e9s par des fournisseurs\u00a0cloud, de bien comprendre leur configuration et leur architecture, plut\u00f4t que de s\u2019y fier aveugl\u00e9ment.<\/p>\n
- \n
- Appliquer les bonnes pratiques de s\u00e9curit\u00e9, le principe du moindre privil\u00e8ge et une approche de d\u00e9fense int\u00e9gr\u00e9e.<\/li>\n
- Cela permet de garantir que les services sont correctement architectur\u00e9s et surveill\u00e9s en cas de modification de leur configuration.<\/li>\n
- La mise en place d\u2019une surveillance en temps r\u00e9el contribue \u00e0 assurer la s\u00e9curit\u00e9 des environnements\u00a0cloud personnalis\u00e9s.<\/li>\n<\/ul>\n
Cortex\u00a0Cloud<\/a> vous prot\u00e8ge contre les configurations erron\u00e9es de l\u2019infrastructure \u00e0 cl\u00e9 publique (PKI) d\u00e9crites dans cet article. Gr\u00e2ce \u00e0 des r\u00e8gles bas\u00e9es sur les agents\u00a0Cloud\u00a0XDR ainsi qu\u2019\u00e0 des r\u00e8gles d\u2019analyse comportementale, Cortex\u00a0Cloud est capable de d\u00e9tecter et de bloquer les usages abusifs des politiques\u00a0IAM, tout en automatisant la r\u00e9ponse via les capacit\u00e9s de la plateforme\u00a0XSOAR.<\/p>\n
Les organisations peuvent b\u00e9n\u00e9ficier d\u2019un accompagnement pour \u00e9valuer leur posture de s\u00e9curit\u00e9\u00a0cloud gr\u00e2ce \u00e0 l\u2019\u00e9valuation de s\u00e9curit\u00e9\u00a0cloud d\u2019Unit\u00a042<\/a>.<\/p>\n
Si vous pensez avoir \u00e9t\u00e9 compromis ou en cas de question urgente, prenez contact avec l\u2019\u00e9quipe de r\u00e9ponse \u00e0 incident d\u2019Unit\u00a042<\/a> ou appelez les num\u00e9ros suivants\u00a0:<\/p>\n
- \n
- Am\u00e9rique du Nord\u00a0: Gratuit\u00a0: +1 (866) 486-4842 (866.4.UNIT42)<\/li>\n
- ROYAUME-UNI\u00a0: +44.20.3743.3660<\/li>\n
- Europe et Moyen-Orient\u00a0: +31.20.299.3130<\/li>\n
- Asie\u00a0: +65.6983.8730<\/li>\n
- Japon\u00a0: +81.50.1790.0200<\/li>\n
- Australie\u00a0: +61.2.4062.7950<\/li>\n
- Inde\u00a0: 00080005045107<\/li>\n<\/ul>\n
Palo\u00a0Alto\u00a0Networks a partag\u00e9 ces r\u00e9sultats avec les membres de la Cyber\u00a0Threat\u00a0Alliance (CTA). Les membres de la CTA utilisent ces renseignements pour d\u00e9ployer rapidement des mesures de protection aupr\u00e8s de leurs clients et pour perturber syst\u00e9matiquement les cyberacteurs malveillants. En savoir plus sur la Cyber Threat Alliance<\/a>.<\/p>\n
<\/a>Ressources compl\u00e9mentaires<\/h2>\n
- \n
- Le principe du moindre privil\u00e8ge\u00a0:<\/a> les explications-\u00a0Palo\u00a0Alto\u00a0Networks<\/li>\n
- Le mod\u00e8le de confiance\u00a0IAM de Roles\u00a0Anywhere<\/a> -\u00a0Documentation officielle d'Amazon Web Services<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"
Cet aper\u00e7u du service\u00a0AWS Roles\u00a0Anywhere examine les risques potentiels tant du point de vue du d\u00e9fenseur que de celui de l\u2019attaquant.<\/p>\n","protected":false},"author":366,"featured_media":142580,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[8724,8832],"tags":[9293,9294],"product_categories":[9041,9046,9068,9151],"coauthors":[8916],"class_list":["post-145428","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cloud-cybersecurity-research-fr","category-threat-research-fr","tag-aws-fr","tag-kubernetes-fr","product_categories-cortex-fr","product_categories-cortex-cloud-fr","product_categories-cortex-xsoar-fr","product_categories-unit-42-incident-response-fr"],"yoast_head":"\n
Des r\u00f4les par ci, des r\u00f4les par l\u00e0, des r\u00f4les partout ! Explorons la s\u00e9curit\u00e9 d'AWS IAM Roles Anywhere<\/title>\n<meta name=\"description\" content=\"Cet aper\u00e7u du service\u00a0AWS Roles\u00a0Anywhere examine les risques potentiels tant du point de vue du d\u00e9fenseur que de celui de l\u2019attaquant. Cet aper\u00e7u du service\u00a0AWS Roles\u00a0Anywhere examine les risques potentiels tant du point de vue du d\u00e9fenseur que de celui de l\u2019attaquant.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/aws-roles-anywhere\/\" \/>\n<meta property=\"og:locale\" content=\"fr_FR\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Des r\u00f4les par ci, des r\u00f4les par l\u00e0, des r\u00f4les partout ! Explorons la s\u00e9curit\u00e9 d'AWS IAM Roles Anywhere\" \/>\n<meta property=\"og:description\" content=\"Cet aper\u00e7u du service\u00a0AWS Roles\u00a0Anywhere examine les risques potentiels tant du point de vue du d\u00e9fenseur que de celui de l\u2019attaquant. Cet aper\u00e7u du service\u00a0AWS Roles\u00a0Anywhere examine les risques potentiels tant du point de vue du d\u00e9fenseur que de celui de l\u2019attaquant.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/unit42.paloaltonetworks.com\/fr\/aws-roles-anywhere\/\" \/>\n<meta property=\"og:site_name\" content=\"Unit 42\" \/>\n<meta property=\"article:published_time\" content=\"2025-06-09T16:09:45+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2025-07-07T18:55:18+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/06\/01_Cloud_cybersecurity_research_Overview_1920x900.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"1920\" \/>\n\t<meta property=\"og:image:height\" content=\"900\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Itay Saraf\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"Des r\u00f4les par ci, des r\u00f4les par l\u00e0, des r\u00f4les partout ! Explorons la s\u00e9curit\u00e9 d'AWS IAM Roles Anywhere","description":"Cet aper\u00e7u du service\u00a0AWS Roles\u00a0Anywhere examine les risques potentiels tant du point de vue du d\u00e9fenseur que de celui de l\u2019attaquant. Cet aper\u00e7u du service\u00a0AWS Roles\u00a0Anywhere examine les risques potentiels tant du point de vue du d\u00e9fenseur que de celui de l\u2019attaquant.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/unit42.paloaltonetworks.com\/fr\/aws-roles-anywhere\/","og_locale":"fr_FR","og_type":"article","og_title":"Des r\u00f4les par ci, des r\u00f4les par l\u00e0, des r\u00f4les partout ! Explorons la s\u00e9curit\u00e9 d'AWS IAM Roles Anywhere","og_description":"Cet aper\u00e7u du service\u00a0AWS Roles\u00a0Anywhere examine les risques potentiels tant du point de vue du d\u00e9fenseur que de celui de l\u2019attaquant. Cet aper\u00e7u du service\u00a0AWS Roles\u00a0Anywhere examine les risques potentiels tant du point de vue du d\u00e9fenseur que de celui de l\u2019attaquant.","og_url":"https:\/\/unit42.paloaltonetworks.com\/fr\/aws-roles-anywhere\/","og_site_name":"Unit 42","article_published_time":"2025-06-09T16:09:45+00:00","article_modified_time":"2025-07-07T18:55:18+00:00","og_image":[{"width":1920,"height":900,"url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/06\/01_Cloud_cybersecurity_research_Overview_1920x900.jpg","type":"image\/jpeg"}],"author":"Itay Saraf","twitter_card":"summary_large_image","schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/aws-roles-anywhere\/#article","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/aws-roles-anywhere\/"},"author":{"name":"Sheida Azimi","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639"},"headline":"Des r\u00f4les par ci, des r\u00f4les par l\u00e0, des r\u00f4les partout ! Explorons la s\u00e9curit\u00e9 d'AWS IAM Roles Anywhere","datePublished":"2025-06-09T16:09:45+00:00","dateModified":"2025-07-07T18:55:18+00:00","mainEntityOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/aws-roles-anywhere\/"},"wordCount":3817,"commentCount":0,"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/aws-roles-anywhere\/#primaryimage"},"thumbnailUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/06\/01_Cloud_cybersecurity_research_Overview_1920x900.jpg","keywords":["AWS","Kubernetes"],"articleSection":["\u00c9tudes sur la cybers\u00e9curit\u00e9 du cloud","Recherche sur les menaces"],"inLanguage":"fr-FR","potentialAction":[{"@type":"CommentAction","name":"Comment","target":["https:\/\/unit42.paloaltonetworks.com\/fr\/aws-roles-anywhere\/#respond"]}]},{"@type":"WebPage","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/aws-roles-anywhere\/","url":"https:\/\/unit42.paloaltonetworks.com\/fr\/aws-roles-anywhere\/","name":"Des r\u00f4les par ci, des r\u00f4les par l\u00e0, des r\u00f4les partout ! Explorons la s\u00e9curit\u00e9 d'AWS IAM Roles Anywhere","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#website"},"primaryImageOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/aws-roles-anywhere\/#primaryimage"},"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/aws-roles-anywhere\/#primaryimage"},"thumbnailUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/06\/01_Cloud_cybersecurity_research_Overview_1920x900.jpg","datePublished":"2025-06-09T16:09:45+00:00","dateModified":"2025-07-07T18:55:18+00:00","author":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639"},"description":"Cet aper\u00e7u du service\u00a0AWS Roles\u00a0Anywhere examine les risques potentiels tant du point de vue du d\u00e9fenseur que de celui de l\u2019attaquant. Cet aper\u00e7u du service\u00a0AWS Roles\u00a0Anywhere examine les risques potentiels tant du point de vue du d\u00e9fenseur que de celui de l\u2019attaquant.","breadcrumb":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/aws-roles-anywhere\/#breadcrumb"},"inLanguage":"fr-FR","potentialAction":[{"@type":"ReadAction","target":["https:\/\/unit42.paloaltonetworks.com\/fr\/aws-roles-anywhere\/"]}]},{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/aws-roles-anywhere\/#primaryimage","url":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/06\/01_Cloud_cybersecurity_research_Overview_1920x900.jpg","contentUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/06\/01_Cloud_cybersecurity_research_Overview_1920x900.jpg","width":1920,"height":900,"caption":"Pictorial representation of AWS Roles Anywhere. Futuristic cityscape with glowing orange and blue structures, elevated clouds, and illuminated, scattered points representing lights or data points."},{"@type":"BreadcrumbList","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/aws-roles-anywhere\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/unit42.paloaltonetworks.com\/"},{"@type":"ListItem","position":2,"name":"Des r\u00f4les par ci, des r\u00f4les par l\u00e0, des r\u00f4les partout ! Explorons la s\u00e9curit\u00e9 d'AWS IAM Roles Anywhere"}]},{"@type":"WebSite","@id":"https:\/\/unit42.paloaltonetworks.com\/#website","url":"https:\/\/unit42.paloaltonetworks.com\/","name":"Unit 42","description":"Palo Alto Networks","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/unit42.paloaltonetworks.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"fr-FR"},{"@type":"Person","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639","name":"Sheida Azimi","image":{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/image\/9213e49ea48b7676660bac40d05c9e3e","url":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","contentUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","caption":"Sheida Azimi"},"url":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/author\/sheida-azimi\/"}]}},"_links":{"self":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/145428","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/users\/366"}],"replies":[{"embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/comments?post=145428"}],"version-history":[{"count":2,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/145428\/revisions"}],"predecessor-version":[{"id":145507,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/145428\/revisions\/145507"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/media\/142580"}],"wp:attachment":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/media?parent=145428"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/categories?post=145428"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/tags?post=145428"},{"taxonomy":"product_categories","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/product_categories?post=145428"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/coauthors?post=145428"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}} - Le mod\u00e8le de confiance\u00a0IAM de Roles\u00a0Anywhere<\/a> -\u00a0Documentation officielle d'Amazon Web Services<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"
- Le principe du moindre privil\u00e8ge\u00a0:<\/a> les explications-\u00a0Palo\u00a0Alto\u00a0Networks<\/li>\n
- Surveillez et tracez r\u00e9guli\u00e8rement les ressources AWS\u00a0IAM Roles\u00a0Anywhere\u00a0:<\/strong> il est essentiel de maintenir une surveillance continue des ancres de confiance, des profils et des ressources associ\u00e9es. \u00c9tant donn\u00e9 que les ancres de confiance et les profils ne sont pas cr\u00e9\u00e9s fr\u00e9quemment, leur cr\u00e9ation ou leur modification constitue un \u00e9v\u00e9nement potentiellement suspect. Toute modification inattendue de ces ressources doit \u00eatre imm\u00e9diatement analys\u00e9e afin de v\u00e9rifier qu\u2019aucune activit\u00e9 non autoris\u00e9e n\u2019est en cours. Des audits r\u00e9guliers et des alertes automatis\u00e9es permettent de d\u00e9tecter et de traiter rapidement d\u2019\u00e9ventuelles menaces de s\u00e9curit\u00e9.<\/li>\n
- Nous recommandons d\u2019utiliser des ancres de confiance de type\u00a0ACM-PCA.<\/strong> Ce faisant, m\u00eame un attaquant disposant d\u2019un acc\u00e8s complet au service Roles Anywhere ne pourra pas t\u00e9l\u00e9verser son propre certificat CA dans l\u2019ancre de confiance. Le type d\u2019ancre ne pouvant pas \u00eatre modifi\u00e9, des autorisations ACM-PCA sp\u00e9cifiques (et rarement attribu\u00e9es) seront n\u00e9cessaires pour authentifier une entit\u00e9.\n
- Nous recommandons vivement d\u2019ajouter des conditions \u00e0 la politique de confiance par d\u00e9faut des r\u00f4les utilis\u00e9s avec Roles\u00a0Anywhere.<\/strong> Comme mentionn\u00e9 pr\u00e9c\u00e9demment, la politique par d\u00e9faut autorise toute ancre de confiance \u00e0 assumer le r\u00f4le. Il est donc essentiel de restreindre l\u2019acc\u00e8s \u00e0 ce r\u00f4le \u00e0 une seule ancre de confiance\u00a0: celle utilis\u00e9e pour authentifier la charge de travail concern\u00e9e.<\/li>\n<\/ul>\n
- Une fois toutes les informations n\u00e9cessaires r\u00e9unies, l\u2019attaquant peut formuler des requ\u00eates afin d\u2019obtenir des identifiants temporaires pour diff\u00e9rents r\u00f4les, et exploiter leurs autorisations pour mener des op\u00e9rations malveillantes.<\/li>\n<\/ul>\n
- L\u2019attaquant pourrait d\u00e9duire les ARN d\u2019un autre r\u00f4le\u00a0IAM rattach\u00e9 au m\u00eame profil, ou bien les ARN et les r\u00f4les associ\u00e9s \u00e0 un autre profil. D\u00e9duire ces ARN est une op\u00e9ration complexe qui n\u00e9cessite des autorisations suppl\u00e9mentaires dans l\u2019environnement\u00a0AWS. Nous aborderons ces techniques plus loin dans l\u2019article.<\/a><\/li>\n
- Le bundle de certificats\u00a0:<\/strong> un certificat\u00a0X.509 encod\u00e9 au format\u00a0ASCII Privacy-Enhanced Mail (PEM), directement rattach\u00e9 au point d\u2019ancrage.<\/li>\n<\/ul>\n<\/li>\n
![\"Diagramme](\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/FR-Roles-anywhere-diagrams-786x270.png\")
![\"Capture](\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-23689-145428-2.png\")
![\"Notification](\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-25906-145428-3.png\")
![\"Capture](\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-27916-145428-4.png\")
![\"Diagramme](\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/FR-Roles-anywhere-blog-diagram-604x440.png\")