gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2026-02-05 19:32:24 -08:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/pentesting-cloud/aws-security/aws-basic-information/REA

Browse Source
This commit is contained in:
Translator
2025-03-17 03:51:14 +00:00
parent a4dbd5361b
commit 245d30d63c
3 changed files with 107 additions and 77 deletions
Download Patch File Download Diff File Expand all files Collapse all files

131
src/pentesting-cloud/aws-security/aws-basic-information/README.md
View File

@@ -22,9 +22,9 @@
- 管理邀请
- 对组织内的实体根、OU 或账户)应用政策
- 启用与支持的 AWS 服务的集成,以在组织中的所有账户之间提供服务功能。
- 可以使用用于创建此根账户/组织的电子邮件和密码根用户身份登录。
- 可以使用创建此根账户/组织时使用的电子邮件和密码作为根用户登录。
管理账户具有 **付款账户的责任**,并负责支付所有成员账户产生的费用。您无法更改组织的管理账户。
管理账户具有 **付款账户的责任**,并负责支付所有成员账户产生的费用。您无法更改组织的管理账户。
- **成员账户** 组成了组织中所有其他账户。一个账户一次只能是一个组织的成员。您可以将政策附加到一个账户,以仅对该账户应用控制。
- 成员账户 **必须使用有效的电子邮件地址**,并可以有一个 **名称**,通常他们将无法管理账单(但可能会被授予访问权限)。
@@ -40,13 +40,13 @@ aws organizations create-organizational-unit --parent-id r-lalala --name TestOU
```
### Service Control Policy (SCP)
**服务控制策略 (SCP)** 是一种策,指定用户和角色在受 SCP 影响的账户中可以使用的服务和操作。SCP **类似于 IAM** 权限策略,但它们 **不授予任何权限**。相反SCP 指定组织、组织单位 (OU) 或账户的 **最大权限**。当您将 SCP 附加到您的组织根或 OU 时,**SCP 限制成员账户中实体的权限**。
一个 **service control policy (SCP)** 是一种策,指定用户和角色在受 SCP 影响的账户中可以使用的服务和操作。SCP **IAM** 权限政策 **类似**,但它们 **不授予任何权限**。相反SCP 指定组织、组织单位 (OU) 或账户的 **最大权限**。当您将 SCP 附加到您的组织根或 OU 时,**SCP 限制成员账户中实体的权限**。
这是 **即使是根用户也可以被阻止** 执行某些操作的唯一方法。例如,它可以用于阻止用户禁用 CloudTrail 或删除备份。\
绕过此限制的唯一方法是同时妥协配置 SCP 的 **主账户**(主账户无法被阻止)。
> [!WARNING]
> 请注意,**SCP 仅限制账户中的主体**,因此其他账户不受影响。这意味着拥有一个 SCP 拒绝 `s3:GetObject` 不会阻止人们 **访问您账户中的公共 S3 存储桶**。
> 请注意,**SCP 仅限制账户中的主体**,因此其他账户不受影响。这意味着拥有一个拒绝 `s3:GetObject` 的 SCP 不会阻止人们 **访问您账户中的公共 S3 存储桶**。
SCP 示例:
@@ -62,9 +62,27 @@ SCP 示例:
在 [https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples.html](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples.html) 中查找 **JSON 示例**
### Resource Control Policy (RCP)
一个 **resource control policy (RCP)** 是一种政策,定义了 **您 AWS 组织内资源的最大权限**。RCP 在语法上与 IAM 政策类似,但 **不授予权限**——它们仅限制其他政策可以应用于资源的权限。当您将 RCP 附加到您的组织根、组织单位 (OU) 或账户时RCP 限制受影响范围内所有资源的资源权限。
这是确保 **资源不能超过预定义访问级别** 的唯一方法——即使身份基础或资源基础政策过于宽松。绕过这些限制的唯一方法是同时修改由您组织的管理账户配置的 RCP。
> [!WARNING]
> RCP 仅限制资源可以拥有的权限。它们不直接控制主体可以做什么。例如,如果 RCP 拒绝对 S3 存储桶的外部访问,它确保存储桶的权限永远不会允许超出设定限制的操作——即使资源基础政策配置错误。
RCP 示例:
- 限制 S3 存储桶,使其只能被您组织内的主体访问
- 限制 KMS 密钥使用,仅允许来自受信任组织账户的操作
- 限制 SQS 队列的权限,以防止未经授权的修改
- 强制 Secrets Manager 秘密的访问边界,以保护敏感数据
在 [AWS Organizations Resource Control Policies documentation](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) 中查找示例。
### ARN
**亚马逊资源名称** 是每个 AWS 内部资源的 **唯一名称**,其组成如下:
**Amazon Resource Name** 是每个 AWS 内部资源的 **唯一名称**,其组成如下:
```
arn:partition:service:region:account-id:resource-type/resource-id
arn:aws:elasticbeanstalk:us-west-1:123456789098:environment/App/Env
@@ -80,15 +98,15 @@ arn:aws:elasticbeanstalk:us-west-1:123456789098:environment/App/Env
IAM是允许您管理**身份验证**、**授权**和**访问控制**的服务。
- **身份验证** - 定义身份和验证该身份的过程。此过程可以细分为:识别和验证。
- **身份验证** - 定义身份及其验证的过程。此过程可以细分为:识别和验证。
- **授权** - 确定身份在系统中经过身份验证后可以访问的内容。
- **访问控制** - 授予安全资源访问的方和过程。
- **访问控制** - 授予安全资源访问权限的方和过程。
IAM可以通过其管理、控制和治理身份对您AWS账户内资源的身份验证、授权和访问控制机制的能力来定义。
### [AWS账户根用户](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html) <a href="#id_root" id="id_root"></a>
当您首次创建Amazon Web Services (AWS)账户时,您将开始使用一个具有**对账户中所有**AWS服务和资源的**完全访问权限**的单一登录身份。这是AWS账户的_**根用户**_通过使用**您用于创建账户的电子邮件地址和密码**进行登录。
当您首次创建Amazon Web Services (AWS)账户时,您将拥有一个具有**完全访问所有**AWS服务和资源的单一登录身份。这是AWS账户的_**根用户**_通过使用**您用于创建账户的电子邮件地址和密码**进行登录。
请注意,新创建的**管理员用户**将具有**比根用户更少的权限**。
@@ -98,7 +116,7 @@ IAM可以通过其管理、控制和治理身份对您AWS账户内资源的身
IAM _用户_是您在AWS中创建的实体用于**代表使用它与AWS交互的人员或应用程序**。AWS中的用户由名称和凭据密码和最多两个访问密钥组成。
当您创建IAM用户时您通过将其设置为具有适当权限策略的**用户组的成员**(推荐)或**直接将策略附加**到用户来授予其**权限**。
当您创建IAM用户时您通过使其成为具有适当权限策略的**用户组的成员**(推荐)或**直接将策略附加**到用户来授予其**权限**。
用户可以启用**MFA登录**控制台。启用MFA的用户的API令牌不受MFA保护。如果您想要**使用MFA限制用户的API密钥访问**您需要在策略中指明为了执行某些操作需要MFA示例[**在这里**](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html))。
@@ -143,7 +161,7 @@ IAM [用户组](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html)
### [IAM角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) <a href="#id_iam-roles" id="id_iam-roles"></a>
IAM **角色**与**用户**非常**相似**,因为它是一个**具有权限策略的身份决定它在AWS中可以做什么和不能做什么**。然而,角色**没有任何凭证**(密码或访问密钥)与之关联。角色的设计目的是**可以被任何需要它的人(并且有足够权限)假设**。IAM用户可以**假设角色以临时**承担特定任务的不同权限。角色可以分配给使用外部身份提供者而不是IAM登录的[**联合用户**](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)。
IAM **角色**与**用户**非常**相似**,因为它是一个**具有权限策略的身份决定它在AWS中可以做什么和不能做什么**。然而,角色**没有任何凭证**(密码或访问密钥)与之关联。角色的设计目的是**可以被任何需要它的人(并且有足够权限)假设**。IAM用户可以假设一个角色以临时**承担特定任务的不同权限**。角色可以分配给使用外部身份提供者而不是IAM登录的[**联合用户**](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)。
IAM角色由**两种类型的策略**组成:**信任策略**,不能为空,定义**谁可以假设**该角色,以及**权限策略**,不能为空,定义**它可以访问什么**。
@@ -153,7 +171,7 @@ AWS安全令牌服务STS是一个网络服务促进**临时、有限权
### [IAM中的临时凭证](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) <a href="#id_temp-creds" id="id_temp-creds"></a>
**临时凭证主要与IAM角色一起使用**但也有其他用途。您可以请求具有比标准IAM用户更有限权限集的临时凭证。这**防止**您**意外执行不允许的任务**。临时凭证的一个好处是它们在设定的时间段后会自动过期。您可以控制凭证的有效持续时间
**临时凭证主要与IAM角色一起使用**但也有其他用途。您可以请求具有比标准IAM用户更有限权限集的临时凭证。这**防止**您**意外执行不允许的任务**。临时凭证的一个好处是它们在设定的时间段后会自动过期。您可以控制凭证的有效
### 策略
@@ -164,8 +182,8 @@ AWS安全令牌服务STS是一个网络服务促进**临时、有限权
- AWS管理策略由AWS预配置
- 客户管理策略由您配置。您可以基于AWS管理策略创建策略修改其中一个并创建自己的使用策略生成器一个帮助您授予和拒绝权限的GUI视图或编写自己的策略。
默认情况下,访问**被拒绝**,如果指定了明确的角色,则将授予访问权限。\
如果**存在单个“拒绝”**它将覆盖“允许”但AWS账户的根安全凭证默认允许使用的请求除外。
默认情况下,访问**被拒绝**,如果指定了明确的角色,则将授予访问权限。\
如果**存在单个“拒绝”**它将覆盖“允许”但AWS账户的根安全凭证的请求(默认允许)除外。
```javascript
{
"Version": "2012-10-17", //Version of the policy
@@ -193,28 +211,28 @@ AWS安全令牌服务STS是一个网络服务促进**临时、有限权
#### 内联策略
这种策略是**直接分配**给用户、组或角色的。因此,它们不会出现在策略列表中,因为其他任何人都可以使用它们。\
内联策略在您想要**保持策略与应用于的身份之间的严格一对一关系**时非常有用。例如,您希望确保策略中的权限不会意外分配给除其预期身份以外的身份。当您使用内联策略时,策略中的权限不意外附加到错误的身份。此外当您使用AWS管理控制台删除该身份时嵌入在身份中的策略也会被删除。这是因为它们是主体实体的一部分。
这种策略是**直接分配**给用户、组或角色的。因此,它们不会出现在其他人可以使用的策略列表中。\
内联策略在您想要**保持策略与应用于的身份之间的严格一对一关系**时非常有用。例如,您希望确保策略中的权限不会意外分配给除其预期身份以外的身份。当您使用内联策略时,策略中的权限不意外附加到错误的身份。此外当您使用AWS管理控制台删除该身份时嵌入在身份中的策略也会被删除。这是因为它们是主体实体的一部分。
#### 资源桶策略
这些是可以在**资源**中定义的**策略**。**并非所有AWS资源都支持它们**。
如果主体没有对它们的明确拒绝,并且资源策略授予它们访问权限,则它们被允许。
如果主体没有对它们的明确拒绝,并且资源策略授予它们访问权限,则允许它们
### IAM边界
IAM边界可以用来**限制用户或角色应有的权限**。这样,即使通过**不同的策略**授予用户一组不同的权限,如果他尝试使用这些权限,操作将**失败**。
IAM边界可以用来**限制用户或角色应有的权限**。这样,即使通过**不同的策略**授予用户不同的权限,如果他尝试使用它们,操作将**失败**。
边界只是附加到用户的策略,**指示用户或角色可以拥有的最大权限级别**。因此,**即使用户具有管理员访问权限**如果边界指示他只能读取S·桶那就是他能做的最大限度
边界只是附加到用户的策略,**指示用户或角色可以拥有的最大权限级别**。因此,**即使用户具有管理员访问权限**如果边界指示他只能读取S·桶那就是他能做的最大事情
**这**、**SCPs**和**遵循最小权限**原则是控制用户权限不超过其所需权限的方式。
### 会话策略
会话策略是**在角色被假定时设置的策略**。这将类似于该会话的**IAM边界**:这意味着会话策略不授予权限,而是**将权限限制为策略中指示的权限**(最大权限为角色所拥有的权限)。
会话策略是在某种情况下**假设角色时设置的策略**。这将类似于该会话的**IAM边界**:这意味着会话策略不授予权限,而是**将权限限制为策略中指示的权限**(最大权限为角色所拥有的权限)。
这对于**安全措施**非常有用:当管理员要假一个非常特权的角色时,他可以将权限限制为仅在会话策略中指示的权限,以防会话被破坏。
这对于**安全措施**非常有用:当管理员要假一个非常特权的角色时,他可以将权限限制为仅在会话策略中指示的权限,以防会话被破坏。
```bash
aws sts assume-role \
--role-arn <value> \
@@ -222,24 +240,24 @@ aws sts assume-role \
[--policy-arns <arn_custom_policy1> <arn_custom_policy2>]
[--policy <file://policy.json>]
```
注意,默认情况下,**AWS 可能会即将生成的会话添加会话策略**,这是由于其他原因。例如,在 [证的 Cognito 假定角色](../aws-services/aws-cognito-enum/cognito-identity-pools.md#accessing-iam-roles) 中,默认情况下(使用增强AWS 将生成 **带有会话策略的会话凭证**,该策略限制会话可以访问的服务 [**为以下列表**](https://docs.aws.amazon.com/cognito/latest/developerguide/iam-roles.html#access-policies-scope-down-services)。
注意,默认情况下,**AWS 可能会即将生成的会话添加会话策略**,这是由于其他原因。例如,在[经身份验证的 Cognito 假定角色](../aws-services/aws-cognito-enum/cognito-identity-pools.md#accessing-iam-roles)中,默认情况下(使用增强身份验AWS 将生成**带有会话策略的会话凭证**,该策略限制会话可以访问的服务[**为以下列表**](https://docs.aws.amazon.com/cognito/latest/developerguide/iam-roles.html#access-policies-scope-down-services)。
因此,如果在某个时刻遇到错误“...因为没有会话策略允许...”,而角色有权限执行该操作,那是因为 **有一个会话策略阻止了它**
因此,如果在某个时刻遇到错误“...因为没有会话策略允许...”,而角色有权限执行该操作,这意味着**存在一个会话策略阻止**。
### 身份联合
身份联合 **允许来自外部身份提供者的用户** 安全地访问 AWS 资源,而无需提供有效 IAM 用户帐户的 AWS 用户凭证。\
身份提供者的一个例子可以是自己的企业 **Microsoft Active Directory**(通过 **SAML**)或 **OpenID** 服务(如 **Google**)。联合访问将允许其中的用户访问 AWS。
身份联合**允许来自外部身份提供者的用户**安全地访问 AWS 资源,而无需提供有效 IAM 用户帐户的 AWS 用户凭证。\
身份提供者的一个例子可以是自己的企业**Microsoft Active Directory**(通过**SAML**)或**OpenID**服务(如**Google**)。联合访问将允许其中的用户访问 AWS。
要配置这种信任,生成一个 **IAM 身份提供者SAML 或 OAuth**,该提供者将 **信任** **其他平台**。然后,至少一个 **IAM 角色被分配(信任)给身份提供者**。如果来自受信平台的用户访问 AWS他将以提到的角色进行访问。
要配置信任,生成一个**IAM 身份提供者SAML 或 OAuth**,该提供者将**信任****其他平台**。然后,至少一个**IAM 角色被分配(信任)给身份提供者**。如果来自受信平台的用户访问 AWS他将以提到的角色进行访问。
然而,通常你会希望根据第三方平台中用户的组给予 **不同的角色**。然后,多个 **IAM 角色可以信任** 第三方身份提供者,第三方平台将允许用户假定一个角色或另一个角色的地方
然而,通常希望根据第三方平台中用户的**组别给予不同的角色**。然后,多个**IAM 角色可以信任**第三方身份提供者,第三方平台将允许用户假定一个角色或另一个角色。
<figure><img src="../../../images/image (247).png" alt=""><figcaption></figcaption></figure>
### IAM 身份中心
AWS IAM 身份中心AWS 单点登录的继任者)扩展了 AWS 身份和访问管理IAM的功能提供一个 **中央位置**,将 **用户及其对 AWS** 帐户和云应用程序的访问管理汇集在一起。
AWS IAM 身份中心AWS 单点登录的继任者)扩展了 AWS 身份和访问管理IAM的功能提供一个**集中位置**,将**用户及其对 AWS**帐户和云应用程序的访问管理汇集在一起。
登录域将类似于 `<user_input>.awsapps.com`
@@ -251,20 +269,20 @@ AWS IAM 身份中心AWS 单点登录的继任者)扩展了 AWS 身份和访
<figure><img src="../../../images/image (279).png" alt=""><figcaption></figcaption></figure>
在身份中心目录的最简单情况下,**身份中心将拥有用户和组的列表**,并能够 **为他们分配策略****组织的任何帐户**
在身份中心目录的最简单情况下,**身份中心将拥有用户和组的列表**,并能够**为他们分配策略**到**组织的任何帐户**。
为了给身份中心用户/组对帐户的访问,将创建一个 **信任身份中心的 SAML 身份提供者**,并在目标帐户中创建一个 **信任身份提供者并具有指示策略的角色**
为了给身份中心用户/组访问一个帐户,将创建一个**信任身份中心的 SAML 身份提供者**,并在目标帐户中创建一个**信任身份提供者并具有指示策略的角色**。
#### AwsSSOInlinePolicy
可以通过 **IAM 身份中心创建的角色的内联策略****授予权限**。在被授予 **AWS 身份中心内联策略** 的帐户中创建的角色将具有名为 **`AwsSSOInlinePolicy`** 的内联策略中的这些权限。
可以通过**内联策略向通过 IAM 身份中心创建的角色授予权限**。在被授予**AWS 身份中心内联策略**的帐户中创建的角色将具有名为**`AwsSSOInlinePolicy`**的内联策略中的这些权限。
因此,即使看到两个具有名为 **`AwsSSOInlinePolicy`** 的内联策略的角色,也 **并不意味着它们具有相同的权限**
因此,即使看到两个具有名为**`AwsSSOInlinePolicy`**的内联策略的角色,也**并不意味着它们具有相同的权限**。
### 跨账户信任和角色
**用户**(信任)可以创建一个带有某些策略的跨账户角色,然后 **允许另一个用户**(受信任) **访问他的帐户**,但仅 **具有新角色策略中指示的访问权限**。要创建此角色,只需创建一个新角色并选择跨账户角色。跨账户访问的角色提供两个选项。提供拥有的 AWS 账户之间的访问,以及提供拥有的账户与第三方 AWS 账户之间的访问。\
建议 **指定信任的用户,而不是放置一些通用内容**,因为如果不这样做,其他经过身份验证的用户(如联合用户)也可能滥用此信任。
**用户**(信任)可以创建一个带有某些策略的跨账户角色,然后**允许另一个用户**(受信任)**访问他的帐户**,但仅**具有新角色策略中指示的访问权限**。要创建此角色,只需创建一个新角色并选择跨账户角色。跨账户访问的角色提供两个选项。提供拥有的 AWS 账户之间的访问,以及提供拥有的账户与第三方 AWS 账户之间的访问。\
建议**指定信任的用户,而不是放置一些通用内容**,因为如果不这样做,其他经过身份验证的用户(如联合用户)也可能滥用此信任。
### AWS Simple AD
@@ -278,36 +296,36 @@ AWS IAM 身份中心AWS 单点登录的继任者)扩展了 AWS 身份和访
- 架构扩展
- 无法直接访问操作系统或实例
#### Web 联合或 OpenID
#### Web 联合或 OpenID 身份验
该应用程序使用 AssumeRoleWithWebIdentity 创建临时凭证。然而,这并不授予对 AWS 控制台的访问权限,仅授予对 AWS 内部资源的访问权限。
### 其他 IAM 选项
- 可以 **设置密码策略设置**选项如最小长度和密码要求。
- 可以 **下载“凭证报告”**,其中包含有关当前凭证的信息(如用户创建时间、密码是否启用...)。可以每 **四小时** 生成一次凭证报告。
- 可以**设置密码策略设置**选项如最小长度和密码要求。
- 可以**下载“凭证报告”**,其中包含有关当前凭证的信息(如用户创建时间、密码是否启用)。可以每**四小时**生成一次凭证报告。
AWS 身份和访问管理IAM提供 **细粒度的访问控制**,覆盖所有 AWS。使用 IAM可以指定 **谁可以访问哪些服务和资源**,以及在什么条件下。通过 IAM 策略,管理对你的劳动力和系统的权限,以 **确保最小权限**
AWS 身份和访问管理IAM提供**细粒度的访问控制**,覆盖所有 AWS。使用 IAM可以指定**谁可以访问哪些服务和资源**,以及在什么条件下。通过 IAM 策略,管理对您的员工和系统的权限,以**确保最小权限**。
### IAM ID 前缀
[**此页面**](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html#identifiers-unique-ids) 中,可以找到根据其性质的 **IAM ID 前缀**
在[**此页面**](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html#identifiers-unique-ids)中,可以找到根据其性质的键的**IAM ID 前缀**
| 标识符代码 | 描述 |
| 标识符代码 | 描述 |
| ---- | -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| ABIA | [AWS STS 服务承载令牌](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_bearer.html) |
| ABIA | [AWS STS 服务承载令牌](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_bearer.html) |
| ACCA | 上下文特定凭证 |
| AGPA | 用户组 |
| AIDA | IAM 用户 |
| AIPA | Amazon EC2 实例配置文件 |
| AKIA | 访问密钥 |
| ANPA | 管理策略 |
| ANVA | 管理策略中的版本 |
| APKA | 公钥 |
| AROA | 角色 |
| ASCA | 证书 |
| ASIA | [临时AWS STS访问密钥 ID](https://docs.aws.amazon.com/STS/latest/APIReference/API_Credentials.html) 使用此前缀,但仅在与秘密访问密钥和会话令牌组合时是唯一的。 |
| ACCA | 上下文特定凭证 |
| AGPA | 用户组 |
| AIDA | IAM 用户 |
| AIPA | Amazon EC2 实例配置文件 |
| AKIA | 访问密钥 |
| ANPA | 管理策略 |
| ANVA | 管理策略中的版本 |
| APKA | 公钥 |
| AROA | 角色 |
| ASCA | 证书 |
| ASIA | [临时AWS STS访问密钥 ID](https://docs.aws.amazon.com/STS/latest/APIReference/API_Credentials.html)使用此前缀,但仅在与秘密访问密钥和会话令牌组合时是唯一的。 |
### 审计账户的推荐权限
@@ -324,10 +342,10 @@ AWS 身份和访问管理IAM提供 **细粒度的访问控制**,覆盖
## 其他
### CLI
### CLI 身份验
为了让常规用户通过 CLI 认证到 AWS需要拥有 **本地凭证**。默认情况下,可以在 `~/.aws/credentials` **手动** 配置它们,或通过 **运行** `aws configure`。\
在该文件中,可以拥有多个配置文件,如果**aws cli** 中未指定 **配置文件**,则将使用该文件中名为 **`[default]`** 的配置文件。\
为了让常规用户通过 CLI 认证到 AWS需要拥有**本地凭证**。默认情况下,可以在 `~/.aws/credentials` 中**手动**配置它们,或通过**运行** `aws configure`。\
在该文件中,可以拥有多个配置文件,如果使用**aws cli**时**未指定配置文件**,则将使用该文件中名为**`[default]`**的配置文件。\
具有多个配置文件的凭证文件示例:
```
[default]
@@ -339,7 +357,7 @@ aws_access_key_id = AKIA8YDCu7TGTR356SHYT
aws_secret_access_key = uOcdhof683fbOUGFYEQuR2EIHG34UY987g6ff7
region = eu-west-2
```
如果您需要访问**不同的AWS账户**,并且您的配置文件被授予访问**在这些账户内假设角色**的权限您不需要每次手动调用STS`aws sts assume-role --role-arn <role-arn> --role-session-name sessname`)并配置凭证。
如果您需要访问**不同的AWS账户**,并且您的配置文件被授予访问**在这些账户内假设角色**的权限,您不需要每次手动调用STS`aws sts assume-role --role-arn <role-arn> --role-session-name sessname`)并配置凭证。
您可以使用`~/.aws/config`文件来[**指示要假设的角色**](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-role.html),然后像往常一样使用`--profile`参数(`assume-role`将以透明的方式为用户执行)。\
配置文件示例:
@@ -355,12 +373,13 @@ sts_regional_endpoints = regional
```
aws --profile acc2 ...
```
如果您正在寻找与此**类似**的**浏览器**工具,可以查看**扩展** [**AWS Extend Switch Roles**](https://chrome.google.com/webstore/detail/aws-extend-switch-roles/jpmkfafbacpgapdghgdpembnojdlgkdl?hl=en)。
如果您正在寻找类似的东西,但用于**浏览器**可以查看**扩展** [**AWS Extend Switch Roles**](https://chrome.google.com/webstore/detail/aws-extend-switch-roles/jpmkfafbacpgapdghgdpembnojdlgkdl?hl=en)。
## 参考文献
- [https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html)
- [https://aws.amazon.com/iam/](https://aws.amazon.com/iam/)
- [https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)
- [https://aws.amazon.com/blogs/aws/introducing-resource-control-policies-rcps-a-new-authorization-policy/](https://aws.amazon.com/blogs/aws/introducing-resource-control-policies-rcps-a-new-authorization-policy/)
{{#include ../../../banners/hacktricks-training.md}}