최초 게시 날짜: 2023년 6월 14일 오후 4:30 PDT
최근 한 연구원이 AWS Directory Service에 "EnableRoleAccess" API를 호출할 수 있는 고객의 IAM 보안 주체가 해당 IAM 보안 주체에 "iam:passrole" 권한이 없는 경우에도 디렉터리 사용자에 대한 역할 액세스를 활성화할 수 있다는 문제를 보고했습니다. 이 문제는 호출하는 IAM 주체가 ‘EnableRoleAccess’ API를 호출할 권한이 있고 고객의 계정으로 제한되는 경우에만 발생합니다.
이 문제는 'EnableRoleAccess' API를 호출할 수 있는 IAM 권한 외에도 역할 액세스를 활성화하기 위해 IAM ‘iam:passrole’ 권한이 있어야 한다는 요구 사항을 적용하여 해결되었습니다. 이 기능에 대한 권장 정책을 사용하는 고객은 이 문제로부터 영향을 받지 않을 것이고 고객 측에서 별도의 조치를 취하지 않아도 됩니다.
이 문제를 책임감 있게 공개하고 해결을 위해 협조해 주신 Cloudar Security에 감사드립니다. 보안 관련 질문이나 문의 사항은 aws-security@amazon.com을 통해 연락 주시기 바랍니다.