shieldly-io/awesome-aws-iam-security
GitHub: shieldly-io/awesome-aws-iam-security
一份精心策划的 AWS IAM 安全资源列表,汇集了权限提升参考、扫描分析工具、最小权限策略设计资源和学习材料。
Stars: 0 | Forks: 0
# Awesome AWS IAM 安全 [](https://github.com/sindresorhus/awesome)
一份精选的工具、技术和参考资料列表,旨在保护 AWS IAM 的安全:涵盖权限提升路径、最小权限策略设计,以及在攻击者之前发现错误配置的扫描器/分析器。
## 目录
- [IAM 权限提升](#iam-privilege-escalation)
- [扫描器与分析器](#scanners--analyzers)
- [AWS 原生工具](#aws-native-tools)
- [策略编写与最小权限](#policy-authoring--least-privilege)
- [学习资源](#learning-resources)
- [演讲与论文](#talks--papers)
## IAM 权限提升
关于 AWS 中约 20 种已知 IAM 权限提升路径的参考资料(配置错误的权限导致低权限主体提升为管理员)。
- [Shieldly IAM 权限提升参考](https://shieldly.io/iam) — 枢纽指南,涵盖下述每种方法及其确切的权限组合、攻击者影响和修复方案。
- [Shieldly IAM 提升速查表](https://shieldly.io/iam/cheatsheet) — 所有方法的单页可打印/可分享摘要。
- [Rhino Security Labs — IAM 权限提升方法](https://rhinosecuritylabs.com/aws/aws-privilege-escalation-methods-mitigation/) — 此类漏洞最广为人知的原始研究。
- [HackTricks — AWS IAM 权限提升](https://cloud.hacktricks.xyz/pentesting-cloud/aws-security/aws-privilege-escalation) — 包含 PoC 命令的攻击性安全参考资料。
- 值得注意的单个路径:`iam:CreatePolicyVersion`、`iam:SetDefaultPolicyVersion`、`iam:AttachUserPolicy` / `AttachRolePolicy` / `AttachGroupPolicy`、`iam:PutUserPolicy` / `PutRolePolicy` / `PutGroupPolicy`、`iam:AddUserToGroup`、`iam:CreateAccessKey`、`iam:CreateLoginProfile` / `UpdateLoginProfile`、`iam:PassRole` 结合 Lambda / EC2 / Glue / CloudFormation / SageMaker / CodeBuild / Data Pipeline / ECS、`iam:UpdateAssumeRolePolicy`、`lambda:UpdateFunctionCode`、`ec2:ReplaceIamInstanceProfileAssociation`、`ssm:SendCommand`。
## 扫描器与分析器
用于扫描 IAM 策略、CloudFormation/Terraform 模板或生产 AWS 账户中存在过度权限访问的开源和商业工具。
- [Prowler](https://github.com/prowler-cloud/prowler) — 开源的 AWS/Azure/GCP 安全最佳实践评估工具,支持 CIS 基准测试。
- [ScoutSuite](https://github.com/nccgroup/ScoutSuite) — 来自 NCC Group 的多云安全审计工具。
- [Cloudsplaining](https://github.com/salesforce/cloudsplaining) — Salesforce 的 IAM 策略风险识别工具,可生成 HTML 风险报告。
- [PMapper](https://github.com/nccgroup/PMapper) — 将 IAM 权限提升和横向移动路径建模为图表。
- [Checkov](https://github.com/bridgecrewio/checkov) — 用于 Terraform/CloudFormation/Kubernetes 的静态分析工具,包含 IAM 策略检查。
- [Steampipe](https://github.com/turbot/steampipe) — 使用 SQL 查询云基础设施(包括 IAM);拥有专门的 AWS IAM 合规性 mod。
- [Cloud Custodian](https://github.com/cloud-custodian/cloud-custodian) — 用于 AWS/Azure/GCP 资源治理(包括 IAM)的 policy-as-code 规则引擎。
- [Trivy](https://github.com/aquasecurity/trivy) — Aqua 的扫描器;其错误配置检查涵盖了 IaC 中的 IAM。
- [Wiz](https://www.wiz.io/) — 商业云安全平台(CSPM/CIEM),支持 IAM 风险图形化展示。
- [Snyk IaC](https://snyk.io/product/infrastructure-as-code-security/) — 商业 IaC 扫描工具,包含 IAM 错误配置规则。
- [Shieldly](https://shieldly.io) — AI 驱动的 IAM/CloudFormation/成本分析;提供免费层级,使用 [浏览器工具](https://shieldly.io/tools) 无需注册。
## AWS 原生工具
- [IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) — AWS 原生的外部/未使用访问权限发现和策略验证工具。
- [AWS Config](https://aws.amazon.com/config/) — 持续的资源/配置记录;与托管 IAM 规则配对使用。
- [AWS Security Hub](https://aws.amazon.com/security-hub/) — 聚合来自 GuardDuty、Access Analyzer、Config 和合作伙伴工具的发现。
- [IAM Policy Simulator](https://policysim.aws.amazon.com/) — 在附加策略之前评估其实际允许的操作。
## 策略编写与最小权限
- [Shieldly IAM 策略模板](https://shieldly.io/templates) — 可直接复制粘贴的最小权限起点(S3 只读、Lambda 执行、EKS IRSA、GitHub Actions OIDC、DynamoDB CRUD 等)。
- [Shieldly IAM 词汇表](https://shieldly.io/iam/glossary) — IAM 术语的通俗易懂的英文定义(信任策略、资源策略、条件键等)。
- [AWS IAM 最佳实践](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) — 官方 AWS 指南。
- [iamlive](https://github.com/iann0036/iamlive) — 根据观察到的 API 调用生成最小权限策略。
- [Parliament](https://github.com/duo-labs/parliament) — IAM 策略 linter(Duo Security)。
- [Policy Sentry](https://github.com/salesforce/policy_sentry) — 最小权限策略生成器(Salesforce)。
## 学习资源
- [Shieldly 博客 — AWS IAM 安全](https://shieldly.io/blog) — 权限边界、错误配置模式、CloudFormation IAM 风险。
- [flAWS](http://flaws.cloud/) / [flAWS 2](http://flaws2.cloud/) — 实践性的 AWS 安全 CTF 式挑战,其中包含多个以 IAM 为核心的挑战。
- [AWS 安全博客](https://aws.amazon.com/blogs/security/) — 官方安全指南和事件分析报告。
## 演讲与论文
- Rhino Security Labs,*“AWS IAM 权限提升 — 方法与缓解措施”*(DEF CON 研究报告,已在上方链接)。
- NCC Group,关于基于图表的权限提升检测的 PMapper 设计说明(已在上方链接)。
**注意:** 本列表由 [Shieldly](https://shieldly.io)(一款 AI 驱动的 AWS 安全分析工具)背后的团队维护。在此列出并非背书交易——竞争对手和 AWS 原生工具均基于其自身优点列出。欢迎通过 PR 进行更正和补充。
标签:AWS, DPI, IAM, 云计算, 协议分析, 安全工具清单, 权限提升, 规则引擎, 逆向工具