deekayen.iam_access_simulation

Überblick Versionen Einblicke

AWS IAM Zugriffs-Simulation

CI

Simulieren Sie den Zugriff von IAM-Benutzern und -Rollen, die verschiedene IAM-Aktionen gegen eine beliebige ARN ausführen. Dies zeigt Ihnen, welche Benutzer und Rollen Zugriff auf Ihre S3-Buckets oder KMS-Schlüssel haben, wenn die Prüfer danach fragen.

Diese Simulation sammelt alle Benutzer und Rollen in Ihrem AWS-Konto und testet dann die bereitgestellten Aktionen gegen die ARNs, die Sie in der Variable resources_to_test definieren werden. Wenn Sie nur Benutzer ODER Rollen testen möchten, können Sie diejenige, die Sie nicht benötigen, weglassen, indem Sie das user- oder role-Tag nutzen, das den Aufgaben zum Filtern zugeordnet ist.

Testen Sie den Zugriff von IAM-Benutzern und -Rollen mit der Funktion AWS CLI simulate principal policy.

aws iam simulate-principal-policy \
  --policy-source-arn <benutzer/rollen arn> \
  --resource-arns <ressourcen arn> \
  --action-names <aktion>

Rollen-Variablen

resources_to_test: []

Beispiel-Playbook

---

- hosts: localhost
  connection: local
  gather_facts: no

  vars:
    resources_to_test:
      - action: s3:GetObject
        resource: arn:aws:s3:::deekayen-123456789000-secret-bucket
      - action: kms:Decrypt
        resource: arn:aws:kms:us-east-1:123456789000:key/1234abab-1e2c-3a4b-9ba8-1234567890ab

  roles:
    - deekayen.iam_access_simulation

Die Ergebnisse der Simulation werden am Ende der Ausführung des Playbooks in der Konsole angezeigt.

TASK [iam_access_simulation : Drucke Simulationsergebnisse.] *****************
ok: [localhost] => {
    "msg": [
        "Benutzer deekayen hat Zugriff auf s3:GetObject für arn:aws:s3:::deekayen-123456789000-secret-bucket",
        "Rolle ec2-instances hat Zugriff auf s3:GetObject für arn:aws:s3:::deekayen-123456789000-secret-bucket",
        "Benutzer deekayen hat Zugriff auf kms:Decrypt für arn:aws:kms:us-east-1:123456789000:key/1234abab-1e2c-3a4b-9ba8-1234567890ab",
        "Rolle ec2-instances hat Zugriff auf kms:Decrypt für arn:aws:kms:us-east-1:123456789000:key/1234abab-1e2c-3a4b-9ba8-1234567890ab"
    ]
}
[

SPIEL RÜCKBLICK ***************************************************************
localhost                  : ok=327  changed=0    unreachable=0    failed=0    skipped=324  rescued=0    ignored=0

Die Ausführung des Playbooks dauerte 0 Tage, 0 Stunden, 3 Minuten, 14 Sekunden

Anforderungen

Die Steuerungsmaschine benötigt boto und AWS CLI.

Abhängigkeiten

collections:
  - amazon.aws
  - community.general

Lizenz

BSD-3-Clause

Über das Projekt

Simulate the access of AWS IAM users and roles performing various actions against any ARN.

role aws iam
Installieren
ansible-galaxy install deekayen.iam_access_simulation
GitHub Repository
0 Sterne
0 Forks
0 Offene Issues
Lizenz
bsd-3-clause
Downloads
14.7k
Besitzer
David Norman
My initials spelled as a word - pronounced /dEE-kAY-En/