Permiso IAM:PassRole*

El permiso iam:PassRole en AWS IAM es una herramienta potente que permite a los usuarios delegar roles a servicios de AWS, habilitando así a estos servicios a actuar en nombre del usuario para realizar tareas específicas. Esta capacidad es fundamental en la arquitectura de AWS para facilitar operaciones complejas y automatizadas, especialmente en entornos donde las aplicaciones necesitan interactuar con varios recursos de AWS.

Profundización en iam:PassRole

• Funcionalidad y Uso: iam:PassRole es crucial cuando se configuran servicios de AWS para ejecutar acciones que requieren acceso a recursos. Por ejemplo, al desplegar una función de AWS Lambda que necesita acceder a un bucket de Amazon S3, se puede pasar un rol IAM a la función Lambda que posee los permisos necesarios para acceder a dicho bucket. Este enfoque garantiza que los servicios de AWS tengan los permisos adecuados sin necesidad de almacenar credenciales directamente en el código o la configuración.

• Riesgos de Seguridad: La flexibilidad de iam:PassRole también introduce riesgos significativos de seguridad si no se maneja correctamente. Un permiso mal configurado, especialmente uno que utiliza comodines (iam:PassRole:*), brinda a los usuarios la capacidad de pasar cualquier rol dentro de la cuenta de AWS. Esto puede ser explotado para escalar privilegios, permitiendo a un usuario o servicio asumir roles con amplios permisos y realizar acciones no autorizadas.

Tecnicas de escalacion de privilegios con iam:PassRole

• CreateEC2WithExistingIP

• PassExistingRoleToNewLambdaThenInvoke

• PassRoleToNewLambdaThenTriggerWithNewDynamo

• EditExistingLambdaFunctionWithRole

• PassExistingRoleToNewGlueDevEndpoint

• PassExistingRoleToCloudFormation

• PassExistingRoleToNewDataPipeline