初始發布日期:2023 年 6 月 14 日下午 4:30 PDT
一位研究人員最近報告了 AWS Directory Service 中的一個問題,該問題可讓客戶的 IAM 主體 (允許呼叫「EnableRoleAccess」API) 來啟用目錄使用者的角色存取權,即使該 IAM 主體沒有「Iam: passrole」許可亦然。只有在呼叫的 IAM 主體具備呼叫「EnableRoleAccess」API 的許可、且僅限於客戶的帳戶時,才會發生此特定問題。
此問題已透過下列方式來修復:除了具備呼叫「EnableRoleAccess」API 的 IAM 許可以外,還必須具備 IAM「iam:passrole」許可才能啟用角色存取權。使用此功能建議政策的客戶不會受到此問題的影響,且不需要客戶採取任何動作。
我們很感謝 Cloudar Security 負責任地披露了此問題並與我們一同解決問題。有關安全性的問題或疑慮可以透過 aws-security@amazon.com 告知我們。