deekayen.iam_access_simulation

Descripción general Versiones Perspectivas

Simulación de Acceso a IAM de AWS

Simula el acceso de usuarios y roles de IAM realizando varias acciones de IAM en cualquier ARN. Esto te dice qué usuarios y roles tienen acceso a tus buckets de S3 o claves de KMS cuando los auditores lo preguntan.

Esto recogerá todos los usuarios y roles de tu cuenta de AWS, luego probará las acciones proporcionadas contra los ARNs que definirás en la variable resources_to_test. Si deseas probar solo usuarios O roles, puedes omitir el que no necesites usando la etiqueta user o role asignada a las tareas para filtrar.

Prueba el acceso de usuarios y roles de IAM usando la función de simulación de política de principal de AWS CLI.

aws iam simulate-principal-policy \
  --policy-source-arn <arn de usuario/rol> \
  --resource-arns <arn del recurso> \
  --action-names <acción>

Variables del Rol

resources_to_test: []

Ejemplo de Playbook

---

- hosts: localhost
  connection: local
  gather_facts: no

  vars:
    resources_to_test:
      - action: s3:GetObject
        resource: arn:aws:s3:::deekayen-123456789000-secret-bucket
      - action: kms:Decrypt
        resource: arn:aws:kms:us-east-1:123456789000:key/1234abab-1e2c-3a4b-9ba8-1234567890ab

  roles:
    - deekayen.iam_access_simulation

Los resultados de la simulación se imprimen en la consola al final de la ejecución del playbook.

TASK [iam_access_simulation : Imprimir resultados de la simulación.] **********************
ok: [localhost] => {
    "msg": [
        "Usuario deekayen permitido para s3:GetObject en arn:aws:s3:::deekayen-123456789000-secret-bucket",
        "Rol ec2-instances permitido para s3:GetObject en arn:aws:s3:::deekayen-123456789000-secret-bucket",
        "Usuario deekayen permitido para kms:Decrypt en arn:aws:kms:us-east-1:123456789000:key/1234abab-1e2c-3a4b-9ba8-1234567890ab",
        "Rol ec2-instances permitido para kms:Decrypt en arn:aws:kms:us-east-1:123456789000:key/1234abab-1e2c-3a4b-9ba8-1234567890ab"
    ]
}
[

RECAP DE JUEGO *********************************************************************
localhost                  : ok=327  changed=0    unreachable=0    failed=0    skipped=324  rescued=0    ignored=0

La ejecución del playbook tomó 0 días, 0 horas, 3 minutos, 14 segundos

Requisitos

La máquina de control necesita boto y AWS CLI.

Dependencias

collections:
  - amazon.aws
  - community.general

Licencia

BSD-3-Clause

Acerca del proyecto

Simulate the access of AWS IAM users and roles performing various actions against any ARN.

role aws iam

Instalar

ansible-galaxy install deekayen.iam_access_simulation

GitHub repositorio

0 estrellas

0 bifurcaciones

0 problemas abiertos

Licencia

bsd-3-clause

Descargas

14.7k

Propietario

David Norman

My initials spelled as a word - pronounced /dEE-kAY-En/