Datum der Erstveröffentlichung: 14.06.2023 16:30 Uhr PDT
Ein Analyst meldete kürzlich ein Problem im AWS Directory Service, das es den IAM-Prinzipalen des Kunden, die die API „EnableRoleAccess“ aufrufen dürfen, ermöglicht hätte, den Rollenzugriff auf den Verzeichnisbenutzer zu aktivieren, selbst wenn dieser IAM-Prinzipal nicht über die Berechtigung „iam:passrole“ verfügte. Dieses spezielle Problem würde nur auftreten, wenn der aufrufende IAM-Prinzipal über die Berechtigungen zum Aufrufen der API „EnableRoleAccess“ verfügt und auf das Konto des Kunden beschränkt wäre.
Das Problem wurde behoben, indem die IAM-Berechtigung „iam:passrole“ erzwungen wird, um den Rollenzugriff zu aktivieren, zusätzlich zu den IAM-Berechtigungen für den Aufruf der API „EnableRoleAccess“. Kunden, die die empfohlene Richtlinie für die Funktion verwenden, wären von diesem Problem nicht betroffen gewesen, und vonseiten des Kunden besteht kein Handlungsbedarf.
Wir möchten Cloudar Security dafür danken, dass sie dieses Problem verantwortungsbewusst offengelegt und mit uns an seiner Lösung gearbeitet haben. Bei Fragen zur Sicherheit oder diesbezüglichen Bedenken schreiben Sie uns an: aws-security@amazon.com.