deekayen.iam_access_simulation

Aperçu Versions Perspectives

Simulation d'Accès IAM sur AWS

CI

Simulez l'accès des utilisateurs et rôles IAM en réalisant diverses actions IAM contre n'importe quel ARN. Cela vous indique quels utilisateurs et rôles ont accès à vos buckets S3 ou clés KMS lorsque les auditeurs le demandent.

Cela rassemblera tous les utilisateurs et rôles de votre compte AWS, puis testera les actions fournies contre les ARNs que vous définirez dans la variable resources_to_test. Si vous souhaitez tester uniquement les utilisateurs OU les rôles, vous pouvez omettre celui dont vous n'avez pas besoin en utilisant le tag user ou role attribué aux tâches pour filtrer.

Testez l'accès des utilisateurs et rôles IAM en utilisant la fonction simulate principal policy de l'AWS CLI.

aws iam simulate-principal-policy \
  --policy-source-arn <user/role arn> \
  --resource-arns <resource arn> \
  --action-names <action>

Variables de Rôle

resources_to_test: []

Exemple de Playbook

---

- hosts: localhost
  connection: local
  gather_facts: no

  vars:
    resources_to_test:
      - action: s3:GetObject
        resource: arn:aws:s3:::deekayen-123456789000-secret-bucket
      - action: kms:Decrypt
        resource: arn:aws:kms:us-east-1:123456789000:key/1234abab-1e2c-3a4b-9ba8-1234567890ab

  roles:
    - deekayen.iam_access_simulation

Les résultats de la simulation sont affichés dans la console à la fin de l'exécution du playbook.

TASK [iam_access_simulation : Afficher les résultats de la simulation.] **********************
ok: [localhost] => {
    "msg": [
        "Utilisateur deekayen autorisé à s3:GetObject sur arn:aws:s3:::deekayen-123456789000-secret-bucket",
        "Rôle ec2-instances autorisé à s3:GetObject sur arn:aws:s3:::deekayen-123456789000-secret-bucket",
        "Utilisateur deekayen autorisé à kms:Decrypt sur arn:aws:kms:us-east-1:123456789000:key/1234abab-1e2c-3a4b-9ba8-1234567890ab",
        "Rôle ec2-instances autorisé à kms:Decrypt sur arn:aws:kms:us-east-1:123456789000:key/1234abab-1e2c-3a4b-9ba8-1234567890ab"
    ]
}
[

RAPPORT DE JEU *********************************************************************
localhost                  : ok=327  changed=0    unreachable=0    failed=0    skipped=324  rescued=0    ignored=0

L'exécution du playbook a pris 0 jours, 0 heures, 3 minutes, 14 secondes

Exigences

La machine de contrôle doit avoir boto et AWS CLI.

Dépendances

collections:
  - amazon.aws
  - community.general

Licence

BSD-3-Clause

À propos du projet

Simulate the access of AWS IAM users and roles performing various actions against any ARN.

role aws iam
Installer
ansible-galaxy install deekayen.iam_access_simulation
GitHub référentiel
0 étoiles
0 forks
0 problèmes ouverts
Licence
bsd-3-clause
Téléchargements
14.7k
Propriétaire
David Norman
My initials spelled as a word - pronounced /dEE-kAY-En/