首次发布日期:2023 年 6 月 14 日太平洋夏令时下午 16:30
一位研究人员最近报告了 AWS Directory Service 中的一个问题,即允许具有“EnableRoleAccess” API 调用权限的客户 IAM 主体,在没有“iam:passrole”权限的情况下启用目录用户的角色访问权限。此特定问题仅在调用 IAM 主体拥有调用“EnableRoleAccess” API 的权限时才会出现,并且仅限于客户账户范围内。
该问题已得到修复,解决方法是除了调用“EnableRoleAccess”API 的 IAM 权限外,还强制要求具有 IAM“iam:passrole”权限方可启用角色访问权限。使用该功能的推荐策略的客户不会受到此问题的影响,也无需采取任何行动。
我们要感谢 Cloudar Security 负责任地披露这个问题并与我们合作解决这个问题。如有安全相关问题或疑问,请通过 aws-security@amazon.com 与我们联系。