初版発行日: 2023 年 6 月 14 日 午後 4 時 30 分 (PDT)
最近、「EnableRoleAccess」API の呼び出しが許可されている場合、お客様の IAM プリンシパルが有効化され、その IAM プリンシパルに「iam:passrole」アクセス許可がない場合でもディレクトリユーザーへのロールアクセスが有効になる可能性があったことを示す AWS Directory Service の問題が研究者によって報告されました。この特定の問題は、呼び出し元の IAM プリンシパルに「EnableRoleAccess」API を呼び出すアクセス許可がある場合に発生します。この問題は、お客様のアカウントにのみ限定されます。
この問題は、「EnableRoleAccess」API を呼び出すための IAM アクセス許可に加えて、ロールアクセスを有効にするために IAM 「iam:passrole」アクセス許可を要求することで修正されました。この機能の推奨ポリシーを使用している場合、この問題による影響は発生しないので、お客様の操作は必要ありません。
責任を持ってこの問題を明らかにし、その解決に協力してくださった Cloudar Security に感謝します。セキュリティ関連の質問または懸念事項については、aws-security@amazon.com までご連絡ください。