deekayen.iam_access_simulation

Przegląd Wersje Wgląd

AWS IAM Symulacja Dostępu

CI

Symulacja dostępu użytkowników i ról IAM wykonujących różne działania IAM na dowolnym ARN. Pokazuje to, którzy użytkownicy i role mają dostęp do twoich zasobów S3 lub kluczy KMS, gdy pytają o to audytorzy.

Zbiera wszystkie użytkowników i role w twoim koncie AWS, a następnie testuje podane działania w stosunku do ARN, które zdefiniujesz w zmiennej resources_to_test. Jeśli chcesz testować tylko użytkowników LUB role, możesz pominąć tę, której nie potrzebujesz, używając tagu user lub role przypisanego do zadań do filtrowania.

Testuj dostęp użytkowników i ról IAM za pomocą funkcji symulacji polityki głównej AWS CLI.

aws iam simulate-principal-policy \
  --policy-source-arn <arn użytkownika/roli> \
  --resource-arns <arn zasobu> \
  --action-names <działanie>

Zmienne Roli

resources_to_test: []

Przykładowy Playbook

---

- hosts: localhost
  connection: local
  gather_facts: no

  vars:
    resources_to_test:
      - action: s3:GetObject
        resource: arn:aws:s3:::deekayen-123456789000-secret-bucket
      - action: kms:Decrypt
        resource: arn:aws:kms:us-east-1:123456789000:key/1234abab-1e2c-3a4b-9ba8-1234567890ab

  roles:
    - deekayen.iam_access_simulation

Wyniki symulacji są drukowane na konsoli na koniec wykonania playbooka.

TASK [iam_access_simulation : Print simulation results.] **********************
ok: [localhost] => {
    "msg": [
        "Użytkownik deekayen ma dostęp do s3:GetObject na arn:aws:s3:::deekayen-123456789000-secret-bucket",
        "Rola ec2-instances ma dostęp do s3:GetObject na arn:aws:s3:::deekayen-123456789000-secret-bucket",
        "Użytkownik deekayen ma dostęp do kms:Decrypt na arn:aws:kms:us-east-1:123456789000:key/1234abab-1e2c-3a4b-9ba8-1234567890ab",
        "Rola ec2-instances ma dostęp do kms:Decrypt na arn:aws:kms:us-east-1:123456789000:key/1234abab-1e2c-3a4b-9ba8-1234567890ab"
    ]
}
[

PODSUMOWANIE GRY *********************************************************************
localhost                  : ok=327  changed=0    unreachable=0    failed=0    skipped=324  rescued=0    ignored=0

Wykonanie playbooka zajęło 0 dni, 0 godzin, 3 minuty, 14 sekund

Wymagania

Maszyna kontrolna potrzebuje boto i AWS CLI.

Zależności

collections:
  - amazon.aws
  - community.general

Licencja

BSD-3-Clause

O projekcie

Simulate the access of AWS IAM users and roles performing various actions against any ARN.

role aws iam
Zainstaluj
ansible-galaxy install deekayen.iam_access_simulation
GitHub repozytorium
0 gwiazdki
0 forki
0 otwarte zgłoszenia
Licencja
bsd-3-clause
Pobrania
14.7k
Właściciel
David Norman
My initials spelled as a word - pronounced /dEE-kAY-En/