Upgrade to Pro — share decks privately, control downloads, hide ads and more …

CEL(Common Expression Language)で書いた条件にマッチしたIAM ...

FUJIWARA Shunichiro
July 22, 2024
Technology
2
1.4k

CEL(Common Expression Language)で書いた条件にマッチしたIAM Policyを見つける / iam-policy-finder

- https://github.com/fujiwara/iam-policy-finder
- https://cel.dev
- https://gist.github.com/fujiwara/19d20efbd19e9f226aaa5d33c2c00cc7

FUJIWARA Shunichiro

July 22, 2024
Tweet

More Decks by FUJIWARA Shunichiro

See All by FUJIWARA Shunichiro
ISUCONに強くなるかもしれない日々の過ごしかた/Findy ISUCON 2024-11-14
fujiwara3
8
870
「最高のチューニング」をしないために / hack@delta 24.10
fujiwara3
21
3.8k
AWS Lambdaで実現するスケーラブルで低コストなWebサービス構築/YAPC::Hakodate2024
fujiwara3
10
4.3k
awslim - Goで実装された高速なAWS CLIの代替品を作った/layerx.go#1
fujiwara3
6
730
AWS CLIの起動が重くてつらいので aws-sdk-client-go を書いた / kamakura.go#6
fujiwara3
7
10k
コードを書く隙間を見つけて生きていく技術/Findy 思考の現在地
fujiwara3
31
7.1k
fujiwara-ware OSSをひたすら紹介する/ya8-2024
fujiwara3
8
770
Amazon ECSで好きなだけ検証環境を起動できるOSSの設計・実装・運用 / YAPC::Hiroshima 2024
fujiwara3
25
8.5k
リアル事例から読み解くWebパフォーマンスチューニングの勘所/Offers web performance tuning
fujiwara3
6
1.8k

Other Decks in Technology

See All in Technology
社内で最大の技術的負債のリファクタリングに取り組んだお話し
kidooonn
1
550
BLADE: An Attempt to Automate Penetration Testing Using Autonomous AI Agents
bbrbbq
0
300
サイバーセキュリティと認知バイアス:対策の隙を埋める心理学的アプローチ
shumei_ito
0
380
Terraform CI/CD パイプラインにおける AWS CodeCommit の代替手段
hiyanger
1
240
[CV勉強会@関東 ECCV2024 読み会] オンラインマッピング x トラッキング MapTracker: Tracking with Strided Memory Fusion for Consistent Vector HD Mapping (Chen+, ECCV24)
abemii
0
220
なぜ今 AI Agent なのか _近藤憲児
kenjikondobai
4
1.4k
フルカイテン株式会社 採用資料
fullkaiten
0
40k
The Rise of LLMOps
asei
7
1.4k
Introduction to Works of ML Engineer in LY Corporation
lycorp_recruit_jp
0
100
【Startup CTO of the Year 2024 / Audience Award】アセンド取締役CTO 丹羽健
niwatakeru
0
980
Lambdaと地方とコミュニティ
miu_crescent
2
370
OCI Vault 概要
oracle4engineer
PRO
0
9.7k

Featured

See All Featured
The Web Performance Landscape in 2024 [PerfNow 2024]
tammyeverts
0
89
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
26
2.1k
Learning to Love Humans: Emotional Interface Design
aarron
273
40k
Documentation Writing (for coders)
carmenintech
65
4.4k
Building Better People: How to give real-time feedback that sticks.
wjessup
364
19k
Reflections from 52 weeks, 52 projects
jeffersonlam
346
20k
Gamification - CAS2011
davidbonilla
80
5k
Art, The Web, and Tiny UX
lynnandtonic
297
20k
Designing Dashboards & Data Visualisations in Web Apps
destraynor
229
52k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
506
140k
Build your cross-platform service in a week with App Engine
jlugia
229
18k
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
38
1.8k

Transcript

  1. iam-policy-finder CEL(Common Expression Language)で書いた条件にマッチした IAM Policyを見つけるくん 2024.07.19 クラシコム・カヤック技術勉強会 @fujiwara

  2. 自己紹介 @fujiwara (X/Twitter, GitHub, Bluesky) 面白法人カヤック SREチーム ISUCON 優勝 4回

    / 運営 (出題 )4回 github.com/kayac/ecspresso github.com/fujiwara/lambroll 最近の趣味はランニングと OSS

  3. [Action Required] Add Lambda ListTags permissions for users calling GetFunction

    API ある日 AWSからメールが Lambda GetFunction API の認証に変更に際し、お客様のアクションが必要になる可能 性があるため、ご連絡しております。 これまで、 ListTags API を明示的に使用する場合にのみ、 ListTags への権限が必要でし た。しかし、 GetFunction API 権限を持つプリンシパルにおいても、 GetFunction 呼び 出しにより出力されたタグ情報にはアクセスできました。 2024 年 7 月 27 日以降、 Lambda は GetFunction API を呼び出すプリンシパルに ListTags API に対する明示的な 許可権限が設定されたポリシーがある場合にのみタグデータを返すようになります。 GetFunction API を呼び出すロールに対して、拒否ポリシーが設定されているか、 ListTags API へのアクセスを明示的に許可するポリシーがない場合、 Lambda は GetFunction API 呼び出しへの応答でタグデータを返さなくなります。

  4. 要約すると (これまで ) Lambda GetFunction APIで lambda:ListTags がなくてもタグが取得できた (これから )

    lambda:ListTags 権限がないとタグが取得できなくなる このアカウントには lambda:GetFunction があるけど lambda:ListTags がないポリシーがあるよ 期日までに lambda:ListTags を許可しないとタグが取れなくなるよ! というお知らせ しかし 「どのポリシーが該当しているかは教えてくれない」 どうやって IAMポリシーを洗い出すか

  5. マネコン目視は ……(1358) ←

  6. AWSの人に聞いたら教えてくれた方法 aws iam get-account-authorization-details 多少マシだが ……結局目視 ? jq 芸は意外と難しい Policy

    JSONは配列でも文字列でもよい要素 ( Action や Resource )があるため

  7. しかたないなあ … https://gist.github.com/fujiwara/19d20efbd19e9f226aaa5d33c2c00cc7

  8. ぱっと AWS SDK Go でコードを書いた 1. GetAccountAuthorizationDetails APIでアカウント内の許可一覧を取得 User, Group,

    Role, Policy(AWSマネージドを含む ) 2. ポリシーの文字列に対して雑に評価 func detect(s string) bool { d, _ := url.QueryUnescape(s) // APIの結果はURL escapeされている l := strings.ToLower(d) // Actionは大文字小文字を区別しないので小文字に揃える return strings.Contains(l, `"lambda:getfunction"`) && !strings.Contains(l, `"lambda:listtags"`) } 3. できた!!

  9. 結果 見つかったもの AWSSupportServiceRolePolicy ← AWSのマネージドポリシー どうしろと … AWSマネージドポリシーを何かに attachしてると問題が起きるので 通知自体は仕方ないんだけど

  10. ECSでもなんかメール来てる [要対応 ] IAM ポリシーを更新して明示的な ecs:TagResource の「許可」を追加してくだ さい ECSでも ecs:CreateCluster

    時に ecs:TagResource が必要になると言われている 特定の条件でポリシーを探したいことはこれからも多そう 評価式部分を汎用化したら使い回せるのでは ? この部分をハードコードではなく外部から与えれば … return strings.Contains(l, `"lambda:getfunction"`) && !strings.Contains(l, `"lambda:listtags"`)

  11. 外部から与えた式で値を評価する Common Expression Language(CEL) https://cel.dev Googleが開発した式言語

  12. CELのいいところ 式評価を自作するのは大変 汎用言語 (Lua, JavaScript, mruby...)を組み込むと、なんでもできすぎる を持つと全てが釘に見える現象 チューリング完全な言語には停止問題がある (無限ループするかも ?)

    CELは非チューリング完全で式評価に特化、高速、安全に実行可能 Go, Java, C++に組み込み可能 GoogleCloud, Kubernetes, istioなどで既に実用されている 型あり (bool, int, uint, double, string, timestamp, duration...) 演算子 ! , && , || , == , != , > , < ... 文字列関数 matches (正規表現 ) startsWith ...

  13. CEL 式の例 // 数値の範囲チェック age >= 18 && age <

    65 // 文字列の前方一致や正規表現マッチ name.startsWith('Foo') name.matches('^Foo.*') // リスト内の要素に条件を満たすものがあるか roles.exists(role, role == 'admin') // 日付、時間の比較 request.date < timestamp('2023-12-31T23:59:59Z') timeout >= duration('10s') これらを組み合わせて評価した結果を任意の値 (boolだけではなく )で返せる

  14. IAMポリシーを探すコードに CELを組み込み できました github.com/fujiwara/iam-policy-finder 1. GetAccountAuthorizationDetails でポリシーを取得 2. ポリシーを CELで式評価をして真になるものを出力

  15. 名前で検索する例 $ iam-policy-finder 'Name == "AmazonEC2FullAccess"' time=2024-07-18T17:37:13.110+09:00 level=INFO msg="starting scan"

    expr="Name == \"AmazonEC2FullAccess\"" filter=[] time=2024-07-18T17:37:26.272+09:00 level=INFO msg=found policy=AmazonEC2FullAccess versions="[v5 v4 v3 v2 v1]" attached=2 time=2024-07-18T17:37:33.377+09:00 level=INFO msg=finished found=5 scanned=975 Name : policy名

  16. JSONを文字列比較する例 「 Documentに "lambda:GetFunction" があり "lambda:ListTags" がない」 Document.matches('"lambda:[Gg]et[Ff]unction"') && !Document.matches('"lambda:[Ll]ist[Tt]ags"')

    Document : ポリシーの JSON文字列 matches : 文字列に対して正規表現マッチ IAM policy actionは 大文字小文字を区別しない (!!) ので同一視するために正規表現

  17. 正規化したポリシーを評価する例 「 s3:* を許可している」 Statement.exists(s, (s.Action.exists(a, a == "s3:*") &&

    s.Effect == "Allow")) Statement : 正規化した policy statement Action , Resource は文字列でもリストでも許されるのですべてリストに "Resource":"*" → "Resource":["*"] exists(要素, 式) : リストの要素を式で評価してどれかが真になれば真

  18. Actionを小文字に正規化して比較 s3:GetObject , s3:getobject , S3:getObject ...←全部同じ意味 CELには大文字小文字を変換したり無視して比較する方法が (デフォルトでは )ない

    --lc オプション 正規化時に Action要素を全部小文字にする 「 Actionに lambda:GetFunction があるが lambda:ListTags がない」 Statement.exists(s, ( s.Action.exists(a, a == "lambda:getfunction") && !s.Action.exists(a, a == "lambda:listtags") ) ) Document (JSON文字列 )は小文字になりません (ユーザー定義関数が作れるので今後追加予定 )

  19. ECSの件を早速調べてみた 「 ecs:CreateCluster があるが ecs:TagResource がないもの」 // ecs.cel Statement.exists(s, (

    s.Action.exists(a, a == "ecs:createcluster") && !s.Action.exists(a, a == "ecs:tagresouce") )) $ iam-policy-finder ecs.cel --dump --lc 式はファイルに書いてもよい --dump : 見つかったポリシー JSONを出力 --lc : Actionを小文字に正規化

  20. $ iam-policy-finder --lc ecs.cel --dump time=2024-07-18T18:02:23.881+09:00 level=INFO msg=found policy=AmazonEC2ContainerServiceforEC2Role versions="[v7

    v6 v5 v4 v3 v2 v1]" attached=1 { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:CreateCluster", "ecs:DeregisterContainerInstance", "ecs:DiscoverPollEndpoint", "ecs:Poll", "ecs:RegisterContainerInstance", "ecs:Submit*" ], "Resource": "*" } ] } AmazonEC2ContainerServiceforEC2Role ← AWSマネージドポリシー !!!!