<\/a>Introducci\u00f3n<\/h2>\nRoles Anywhere es un servicio de gesti\u00f3n de accesos que se present\u00f3 en el a\u00f1o 2022. Permite a las cargas de trabajo externas autenticarse en AWS mediante certificados digitales\u00a0X.509. Esta capacidad elimina la necesidad de crear y administrar credenciales a largo plazo en dichas cargas de trabajo y, en \u00faltima instancia, hace que las operaciones de API en la nube sean m\u00e1s seguras y f\u00e1ciles de administrar en los entornos de AWS.<\/p>\n
En pocas palabras, Roles Anywhere puede utilizarse para definir qu\u00e9 certificados de autoridad de certificaci\u00f3n (CA) pueden validar los certificados de clientes. El certificado de cliente firmado por una CA de este tipo puede utilizarse para lo siguiente:<\/p>\n
\n- Autenticarse en AWS<\/li>\n
- Intercambiar la identidad basada en certificado por una identidad nativa de la nube correspondiente (expresada como un conjunto de credenciales temporales)<\/li>\n
- Llamar a las API de la nube de AWS con normalidad al firmar las solicitudes con esas credenciales temporales de AWS<\/li>\n<\/ul>\n
<\/a>Componentes y conceptos clave<\/h2>\nEl proceso de autenticaci\u00f3n consta de los siguientes componentes b\u00e1sicos:<\/p>\n
\n- Anclas de confianza:<\/strong> un ancla de confianza es el recurso que representa el certificado de CA en Roles Anywhere. Cuando se crea un ancla de confianza, se le debe adjuntar un certificado de CA. Existen dos tipos de anclas de confianza:\n
\n- Certificado Certificate Manager-Private Certificate Authority de AWS (ACM-PCA)<\/strong>: es un recurso administrado de AWS.<\/li>\n
- Certificado Bundle<\/strong>: un certificado\u00a0X.509 codificado en formato\u00a0ASCII de correo de privacidad mejorada (PEM) que se adjunta directamente al ancla de confianza.<\/li>\n<\/ul>\n<\/li>\n
- Perfiles:<\/strong> son recursos que determinan el nivel de acceso de una entidad autenticada con Roles Anywhere. Los perfiles se asignan con roles de gesti\u00f3n de identidades y accesos (IAM) que definen los permisos y con mecanismos adicionales para ajustar los permisos.<\/li>\n
- Roles de IAM:<\/strong> los roles de IAM se asignan con las pol\u00edticas de IAM reales que conceden (o eliminan) permisos.<\/li>\n<\/ul>\n
![\"Diagrama]()
Figura 1. Vista general del proceso de autenticaci\u00f3n.<\/figcaption><\/figure>\nEn la pr\u00e1ctica, la autenticaci\u00f3n mediante Roles Anywhere se realiza al enviar una solicitud al endpoint \/sessions<\/span>. La solicitud se firma con la clave privada del certificado y se toman como par\u00e1metros el nombre de recurso de Amazon (ARN) del ancla de confianza y los ARN del perfil y el rol.<\/p>\nUna forma sencilla de componer la solicitud es con la herramienta aws_signing_helper<\/a><\/span>. Esta herramienta automatiza el proceso de autenticaci\u00f3n y tambi\u00e9n puede hacer que las credenciales est\u00e9n disponibles localmente al emular el endpoint del servicio de metadatos de instancias de forma muy similar a c\u00f3mo funcionan las instancias de Amazon Elastic Compute Cloud (EC2).<\/p>\nEn la Figura\u00a02, se muestran ejemplos de solicitudes y respuestas utilizando Roles Anywhere.<\/p>\n![\"Captura]()
Figura 2. Ejemplos de solicitud y respuesta para la autenticaci\u00f3n mediante Roles Anywhere.<\/figcaption><\/figure>\n<\/a>Uso regular de Roles Anywhere<\/h3>\nA fin de comprender mejor el flujo de configuraci\u00f3n de Roles Anywhere, considere el siguiente escenario:<\/p>\n
\n- Un pod de Kubernetes externo a AWS necesita acceso para leer objetos en un bucket de Simple Storage Service (S3).<\/li>\n
- El ingeniero de la nube emite un certificado y lo firma con el certificado del ancla de confianza. A continuaci\u00f3n, el certificado firmado se almacena en el pod, junto con su clave privada.<\/li>\n
- El ingeniero crea un rol de IAM que incluye los permisos\u00a0S3 relevantes y lo adjunta a un perfil de Roles Anywhere.<\/li>\n
- El pod de Kubernetes ahora puede utilizar el certificado, as\u00ed como sus credenciales de rol asociadas, junto con la clave para firmar, autenticar y leer objetos dentro del bucket de S3 configurado.<\/li>\n<\/ul>\n
<\/a>Asegurar el proceso de autenticaci\u00f3n por defecto<\/h2>\nUn aspecto interesante de este proceso de autenticaci\u00f3n es que, por defecto, no existe una correlaci\u00f3n entre el ancla de confianza y un perfil espec\u00edfico. Es crucial que las organizaciones comprendan los riesgos que implica esta configuraci\u00f3n y configuren los recursos de Roles Anywhere y las pol\u00edticas de confianza de roles de IAM en consecuencia.<\/p>\n
En otras palabras, las organizaciones deben configurar un certificado de cliente para que est\u00e9 firmado por un ancla de confianza espec\u00edfico y destinado a un perfil espec\u00edfico. Esto impedir\u00e1 el acceso desde cualquier otro perfil y ancla de confianza en la misma cuenta y regi\u00f3n de AWS.<\/p>\n
Para demostrar las posibles consecuencias de este proceso, consideremos el escenario del pod descrito anteriormente. Hasta aqu\u00ed, los pasos del flujo son leg\u00edtimos. En esencia, el pod tiene los permisos exactos que necesita.<\/p>\n
Pero, \u00bfy si un atacante consigue acceder al pod? Si se crearon otros perfiles en la misma cuenta y regi\u00f3n de AWS, el atacante podr\u00eda utilizar el certificado para obtener acceso a los roles de estos perfiles:<\/p>\n
\n- El atacante deduce los ARN de otro rol de IAM que est\u00e1 adjunto al mismo perfil o los ARN y los roles adjuntos de otro perfil. Deducir estos ARN es una tarea compleja que requiere permisos adicionales en el entorno de AWS. Analizamos estas t\u00e9cnicas m\u00e1sadelante en este art\u00edculo<\/a>.<\/li>\n
- Una vez obtenida toda la informaci\u00f3n necesaria, el atacante puede formular peticiones para obtener credenciales de diferentes roles y utilizar sus permisos para realizar operaciones maliciosas.<\/li>\n<\/ul>\n
AWS ofrece varias formas<\/a> para limitar el acceso desde Roles Anywhere con condiciones <\/strong>en la pol\u00edtica de confianza del rol. Sin embargo, la pol\u00edtica de confianza predeterminada de Roles Anywhere no tiene ninguna condici\u00f3n en su declaraci\u00f3n<\/strong>, lo que significa que cualquier entorno que utilice la pol\u00edtica predeterminada no impone limitaciones de acceso. Es responsabilidad de la organizaci\u00f3n asegurarse de que no est\u00e1 utilizando configuraciones predeterminadas para las configuraciones de Roles Anywhere.<\/p>\nCuando se crea un rol por defecto que se utiliza para Roles Anywhere, se establece la siguiente pol\u00edtica de confianza:<\/p>\n
{\r\n\r\n\"Version\": \"2012-10-17\",\r\n\r\n\"Statement\": [\r\n\r\n{\r\n\r\n\"Sid\": \"\",\r\n\r\n\"Effect\": \"Allow\",\r\n\r\n\"Principal\": {\r\n\r\n\"Service\": \"rolesanywhere.amazonaws.com\"\r\n\r\n},\r\n\r\n\"Action\": [\r\n\r\n\"sts:AssumeRole\",\r\n\r\n\"sts:SetSourceIdentity\",\r\n\r\n\"sts:TagSession\"\r\n\r\n]\r\n\r\n}\r\n\r\n]\r\n\r\n}<\/pre>\nEsta pol\u00edtica establece que este rol puede ser asumido por el servicio de Roles Anywhere<\/strong>. Sin embargo, no existen otras restricciones para las fuentes que pueden asumirlo. Esto significa que, si se asigna un rol a un perfil, cualquier certificado firmado por un ancla de confianza en la misma regi\u00f3n puede asumir este rol.<\/p>\nPara solucionarlo, AWS cre\u00f3 la secci\u00f3n Condici\u00f3n en la pol\u00edtica. Las condiciones permiten imponer restricciones adicionales a los recursos, especificando los requisitos que estos deben cumplir para llevar a cabo una acci\u00f3n.<\/p>\n
La siguiente pol\u00edtica a\u00f1ade la secci\u00f3n Condici\u00f3n sobre la pol\u00edtica por defecto para limitar el acceso de la autenticaci\u00f3n Roles Anywhere al rol, solo desde un ancla de confianza espec\u00edfica.<\/p>\n
{\r\n\r\n\"Version\": \"2012-10-17\",\r\n\r\n\"Statement\": [\r\n\r\n{\r\n\r\n\"Sid\": \"\",\r\n\r\n\"Effect\": \"Allow\",\r\n\r\n\"Principal\": {\r\n\r\n\"Service\": \"rolesanywhere.amazonaws.com\"\r\n\r\n},\r\n\r\n\"Action\": [\r\n\r\n\"sts:AssumeRole\",\r\n\r\n\"sts:SetSourceIdentity\",\r\n\r\n\"sts:TagSession\"\r\n\r\n],\r\n\r\n\"Condition\": {\r\n\r\n\"ArnEquals\": {\r\n\r\n\"aws:SourceArn\": [\r\n\r\n\"arn:aws:rolesanywhere:region:account:trust-anchor\/TA_ID\"\r\n\r\n]\r\n\r\n}\r\n\r\n}\r\n\r\n}\r\n\r\n]\r\n\r\n}<\/pre>\nPara limitar a\u00fan m\u00e1s el acceso de los certificados firmados, recomendamos aprovechar la asignaci\u00f3n de atributos de certificado<\/strong>. AWS tambi\u00e9n lo recomienda en la documentaci\u00f3n de Roles Anywhere<\/a>:<\/p>\n![\"Notificaci\u00f3n]()
Figura 3. Recomendaci\u00f3n de AWS de utilizar la asignaci\u00f3n de atributos.<\/figcaption><\/figure>\nB\u00e1sicamente, es posible asignar los atributos de un certificado a valores que se evaluar\u00e1n en la pol\u00edtica de confianza. Se puede utilizar para especificar el acceso a roles en funci\u00f3n del nombre com\u00fan del certificado, la unidad organizativa o cualquier otro atributo del certificado.<\/p>\n
Se recomienda porque, si un recurso que utiliza Roles Anywhere para la autenticaci\u00f3n se ve comprometido, se garantiza que no podr\u00e1 acceder a roles adicionales.<\/p>\n
La siguiente condici\u00f3n utiliza la condici\u00f3n de ancla de confianza de la \u00faltima secci\u00f3n y tambi\u00e9n limita el acceso en funci\u00f3n de los atributos del certificado:<\/p>\n
\"Condition\": {\r\n\r\n\"ArnEquals\": {\r\n\r\n\"aws:SourceArn\": [\r\n\r\n\"arn:aws:rolesanywhere:region:account:trust-anchor\/TA_ID\"\r\n\r\n]\r\n\r\n},\r\n\r\n\"StringEquals\": {\r\n\r\n\"aws:PrincipalTag\/x509Subject\/CN\": \"COMMON_NAME\"\r\n\r\n}\r\n\r\n}<\/pre>\nAl igual que con cualquier otro servicio, debe tenerse en cuenta el principio de m\u00ednimo privilegio al implementar la infraestructura de Roles Anywhere. Para ello, debe utilizarse la asignaci\u00f3n de atributos de certificado.<\/p>\n
<\/a>Perspectiva del actor de amenazas<\/h2>\n<\/a>Escenario n.\u00ba\u00a01: uso de certificados y claves privadas v\u00e1lidos por parte del atacante<\/h3>\nComo se ha indicado anteriormente, los siguientes datos son necesarios para autenticarse utilizando Roles Anywhere:<\/p>\n
\n- El certificado de cliente<\/li>\n
- La clave privada del certificado de cliente<\/li>\n
- El ARN del ancla de confianza que firm\u00f3 el certificado<\/li>\n
- El ARN de un perfil en la misma regi\u00f3n<\/li>\n
- El ARN de un rol de IAM que se adjunta al perfil<\/li>\n<\/ul>\n
En el siguiente escenario, un atacante compromete una configuraci\u00f3n predeterminada de Roles Anywhere para un certificado de cliente que se utiliza para la autenticaci\u00f3n con su clave privada. A fin de aprovechar maliciosamente la configuraci\u00f3n predeterminada para acceder a roles adicionales en la cuenta, el atacante a\u00fan necesita descubrir los ARN de los recursos relevantes para autenticarse en AWS. La obtenci\u00f3n de los ARN no es una tarea sencilla y requiere privilegios independientes adicionales dentro de la cuenta.<\/p>\n
Se pueden utilizar las siguientes t\u00e9cnicas para obtener esta informaci\u00f3n:<\/p>\n
\n- Uso de las acciones de Roles Anywhere: <\/strong>Un atacante que haya obtenido suficientes permisos para el servicio de Roles Anywhere puede simplemente ejecutar acciones para obtener los ARN relevantes. Puede hacerlo utilizando las acciones list-trust-anchors<\/span> y list-profiles<\/span>, que requieren los permisos rolesanywhere:ListTrustAnchors<\/span> y rolesanywhere:ListProfiles<\/span>, respectivamente. El resultado de estas acciones contiene todos los ARN necesarios para la solicitud de autenticaci\u00f3n, ya que el comando list-profiles<\/span> devolver\u00e1 todos los roles que est\u00e1n adjuntos al perfil.<\/li>\n
- Recuperar datos de los registros<\/strong>: CloudTrail<\/a> es el principal mecanismo de registro de AWS. Entre los registros de CloudTrail, un atacante con acceso independiente a los registros de CloudTrail (o a los servicios de almacenamiento que los contienen) podr\u00eda localizar elementos creados por el servicio de Roles Anywhere. Algunos registros de CloudTrail contienen todos los ARN necesarios para el proceso de autenticaci\u00f3n. Los registros del servicio de Roles Anywhere revelan estos ARN en los eventos de varias acciones.<\/li>\n<\/ul>\n
El registro m\u00e1s relevante es CreateSession<\/span>. Este registro se crea cuando se utiliza Roles Anywhere para la autenticaci\u00f3n, es decir, para crear credenciales temporales y enviarlas al usuario. En la Figura\u00a03, se muestra un ejemplo de una entrada del registro CreateSession<\/span> y se anota el ARN asociado.<\/p>\n![\"Captura]()
Figura 4. Registro de CreateSession<\/span> de CloudTrail.<\/figcaption><\/figure>\nLos ARN de un ancla de confianza, un perfil y uno de sus roles adjuntos aparecen en este registro de eventos. Si el certificado del atacante fue firmado por el ancla de confianza que aparece en el registro, puede utilizarlo para realizar la autenticaci\u00f3n.<\/p>\n
En la Figura\u00a05, se muestra una ilustraci\u00f3n general de los pasos de los atacantes.<\/p>\n![\"Diagrama]()
Figura 5. Vista general de los pasos de los atacantes.<\/figcaption><\/figure>\n<\/a>Escenario n.\u00ba\u00a02: explotaci\u00f3n de los permisos directos a Roles Anywhere<\/h3>\nOtro escenario en el que se podr\u00eda explotar una configuraci\u00f3n predeterminada del servicio de Roles Anywhere es cuando un atacante obtiene acceso a una identidad que tiene permisos de Roles Anywhere. Estos permisos pueden concederse mediante una declaraci\u00f3n Allow<\/span> directa en el servicio o a trav\u00e9s del elemento NotAction<\/span>.<\/p>\nLos siguientes pasos pueden utilizarse para aprovechar estos permisos:<\/p>\n
\n- El atacante obtiene acceso a una identidad que tiene configuraciones y permisos predeterminados de Roles Anywhere.<\/li>\n
- El atacante crea dos certificados: un certificado de CA y un certificado de cliente; y luego utiliza el certificado de CA para firmar el certificado de cliente. Al haber creado los certificados, el atacante tambi\u00e9n posee sus claves privadas.<\/li>\n
- El atacante utiliza la identidad comprometida para crear un ancla de confianza y adjunta el certificado de CA al ancla.<\/li>\n
- Utilizando permisos de list<\/span> de Roles Anywhere, el atacante recopila perfiles y ARN de roles de IAM.<\/li>\n
- Utilizando los ARN, el certificado de cliente y su clave privada, el atacante se autentica utilizando Roles Anywhere.<\/li>\n
- Si la pol\u00edtica de confianza del rol de IAM deniega el acceso, el atacante puede comprobar los temas de Roles Anywhere para encontrar detalles sobre un certificado que se utiliz\u00f3 anteriormente para la autenticaci\u00f3n y copiar los campos en un nuevo certificado de cliente.<\/li>\n<\/ul>\n
En m\u00e1s detalle, un atacante con suficientes permisos de Roles Anywhere puede crear un certificado, firmarlo con el propio certificado de CA del atacante y subirlo a un ancla de confianza nuevo o existente. Esto requiere los permisos rolesanywhere:CreateTrustAnchor<\/span> o rolesanywhere:UpdateTrustAnchor<\/span>.<\/p>\nDado que el atacante controla tanto el certificado de cliente como el certificado de CA, el certificado ser\u00e1 v\u00e1lido. El siguiente paso es saber qu\u00e9 perfiles y roles est\u00e1n disponibles utilizando el comando list-profiles<\/span> de Roles Anywhere o cualquier otra t\u00e9cnica mencionada anteriormente.<\/p>\nCon esta informaci\u00f3n, el atacante puede crear credenciales a trav\u00e9s de Roles Anywhere y realizar operaciones en el contexto del rol que se utiliz\u00f3.<\/p>\n
Si las medidas de seguridad de la organizaci\u00f3n objetivo no detectan la actividad maliciosa, este proceso tambi\u00e9n act\u00faa como un vector de persistencia para el atacante, ya que se puede utilizar un ancla de confianza para generar credenciales v\u00e1lidas hasta que se resuelva el problema.<\/p>\n
<\/a>Mitigaciones y recomendaciones<\/h2>\n\n- Recomendamos encarecidamente a\u00f1adir condiciones a la pol\u00edtica de confianza predeterminada de los roles que se utilizan con Roles Anywhere.<\/strong> Como se mencion\u00f3 anteriormente, la pol\u00edtica predeterminada permite que cualquier ancla de confianza asuma el rol. Es esencial limitar el acceso al rol solo desde un ancla de confianza espec\u00edfico: el que se utiliza para autenticar la carga de trabajo relevante.<\/li>\n<\/ul>\n
\"Condition\": {\r\n\r\n\"ArnEquals\": {\r\n\r\n\"aws:SourceArn\": [\r\n\r\n\"arn:aws:rolesanywhere:region:account:trust-anchor\/TA_ID\"\r\n\r\n]\r\n\r\n}\r\n\r\n}<\/pre>\nTambi\u00e9n deben aplicarse condiciones adicionales para limitar el acceso solo a los certificados con determinados atributos, como el nombre com\u00fan o la organizaci\u00f3n. Sin embargo, estas condiciones no son una soluci\u00f3n m\u00e1gica y pueden obviarse en determinadas circunstancias. Por ejemplo, ser\u00eda posible un desv\u00edo si un atacante fuera capaz de extraer informaci\u00f3n de atributos del certificado.<\/p>\n
\n- Recomendamos utilizar anclas de confianza del tipo ACM-PCA.<\/strong> Cuando se utiliza ACM-PCA, ni siquiera un atacante que obtenga acceso completo al servicio de Roles Anywhere podr\u00e1 cargar su propio certificado de CA generado en el ancla de confianza. El tipo de ancla de confianza no se puede cambiar, lo que significa que se necesitan permisos ACM-PCA (que no son comunes) para autenticarse.\n
\n- Este es un punto fundamental. Si los roles que deben asumir las anclas de confianza utilizan la condici\u00f3n de la soluci\u00f3n anterior, no se podr\u00e1 acceder a ellos. Debemos tener en cuenta que las CA privadas en AWS tienen sus propias consideraciones de seguridad y tambi\u00e9n pueden suponer un riesgo si no se configuran correctamente<\/li>\n<\/ul>\n<\/li>\n
- Los permisos deben asignarse siempre seg\u00fan el principio del menor privilegio.<\/strong> La capacidad de autenticarse con Roles Anywhere suele otorgarse a identidades no humanas, y los dispositivos que utilizan este servicio suelen tener tareas espec\u00edficas y predeterminadas que deben realizar. Por lo tanto, el nivel de acceso de estas identidades no debe exceder los requisitos de las tareas que se les asignen. Aparte de los propios roles de IAM, es posible asociar una pol\u00edtica de sesi\u00f3n a un perfil. Esta pol\u00edtica define los permisos m\u00e1ximos que puede tener el rol cuando se asume a trav\u00e9s de Roles Anywhere.<\/li>\n
- Supervise y realice un seguimiento peri\u00f3dico de los recursos de IAM Roles Anywhere de AWS<\/strong>: es crucial mantener una supervisi\u00f3n continua de las anclas de confianza, los perfiles y los recursos asociados. Las anclas y los perfiles de confianza no se crean con frecuencia, lo que hace que su creaci\u00f3n o modificaci\u00f3n sean eventos sospechosos. Cualquier cambio inesperado en estos recursos debe investigarse inmediatamente para asegurarse de que no se est\u00e9 realizando ninguna actividad no autorizada. Las auditor\u00edas peri\u00f3dicas y las alertas automatizadas pueden ayudar a detectar y responder a tiempo a posibles amenazas para la seguridad.<\/li>\n
- Ejecute la siguiente consulta\u00a0XQL en Cortex Query Builder para identificar los roles que conf\u00edan en el servicio de Roles Anywhere, pero que no aplican ninguna condici\u00f3n.<\/li>\n<\/ul>\n
dataset = asset_inventory\r\n\r\n| filter xdm.asset.type.id = \"AWS_IAM_ROLE\" and xdm.asset.raw_fields != null\r\n\r\n| fields xdm.asset.id as asset_id, xdm.asset.raw_fields\r\n\r\n| alter statements = json_extract_array(xdm.asset.raw_fields, \"$['Platform Discovery'].Role.AssumeRolePolicyDocument.Statement\")\r\n\r\n| arrayexpand statements\r\n\r\n| alter principal = json_extract(statements ,\"$.Principal\")\r\n\r\n| alter condition = json_extract(statements, \"$.Condition\")\r\n\r\n| alter service1 = json_extract_scalar(principal ,\"$.Service\")\r\n\r\n| alter service1_array = if(service1 != null, arraycreate(service1), arraycreate(\"null\"))\r\n\r\n| alter serviceA = json_extract_scalar_array(principal ,\"$.Service\")\r\n\r\n| alter service = if(service1 != null, service1_array ,serviceA)\r\n\r\n| arrayexpand service\r\n\r\n| filter service = \"rolesanywhere.amazonaws.com\"\r\n\r\n| fields asset_id, service, condition, principal, statements, xdm.asset.raw_fields\r\n\r\n| alter is_condition_empty = if(condition != null, false, true)\r\n\r\n| filter is_condition_empty = true<\/pre>\nConclusi\u00f3n<\/strong><\/h2>\nEn este art\u00edculo, se han explorado los riesgos clave asociados con el uso de configuraciones predeterminadas para el servicio de Roles Anywhere de AWS, tanto desde la perspectiva de un posible atacante como desde la perspectiva de un defensor. Hemos proporcionado varias estrategias de mitigaci\u00f3n que las organizaciones deber\u00edan implementar para gestionar mejor los riesgos asociados. Esperamos que este an\u00e1lisis ayude a los lectores a comprender mejor las vulnerabilidades potenciales que implica el uso de la funcionalidad por defecto de este servicio, y la mejor manera de mitigarlas.<\/p>\n
Una de las principales conclusiones de este art\u00edculo es que, cuando se utilizan servicios de proveedores en la nube, es fundamental comprender a fondo las configuraciones y la arquitectura, en lugar de confiar en ellos sin sentido cr\u00edtico.<\/p>\n
\n- Siga las pr\u00e1cticas recomendadas de seguridad, los privilegios m\u00ednimos y las estrategias de defensa en profundidad.<\/li>\n
- Esto ayuda a garantizar que los servicios est\u00e9n correctamente dise\u00f1ados y supervisados para detectar modificaciones en la configuraci\u00f3n.<\/li>\n
- Mantener la supervisi\u00f3n en tiempo de ejecuci\u00f3n ayudar\u00e1 a garantizar que las plataformas en la nube personalizadas funcionen de forma segura.<\/li>\n<\/ul>\n
Cortex Cloud<\/a> proporciona protecciones contra los errores de configuraci\u00f3n de la infraestructura de clave p\u00fablica (PKI) detallados en este art\u00edculo. Mediante el uso de reglas basadas en el agente de Cloud\u00a0XDR y reglas anal\u00edticas de comportamiento para detectar cuando se est\u00e1n usando mal las pol\u00edticas de IAM, Cortex Cloud es capaz de detectar y prevenir operaciones maliciosas que usan sus capacidades de automatizaci\u00f3n de la plataforma\u00a0XSOAR.<\/p>\nLas organizaciones pueden obtener ayuda para evaluar la postura de seguridad en la nube a trav\u00e9s de la Evaluaci\u00f3n de seguridad en la nube de Unit\u00a042<\/a>.<\/p>\nSi cree que su seguridad puede haber sido comprometida o si tiene un asunto urgente, p\u00f3ngase en contacto con el equipo de respuesta a incidentes de Unit\u00a042<\/a> o llame a los siguientes n\u00fameros:<\/p>\n\n- Am\u00e9rica del Norte: Llamada gratuita: +1 (866) 486-4842 (866.4.UNIT42)<\/li>\n
- REINO UNIDO: +44.20.3743.3660<\/li>\n
- Europa y Oriente Medio: +31.20.299.3130<\/li>\n
- Asia: +65.6983.8730<\/li>\n
- Jap\u00f3n: +81.50.1790.0200<\/li>\n
- Australia: +61.2.4062.7950<\/li>\n
- India: 00080005045107<\/li>\n<\/ul>\n
Palo Alto Networks comparti\u00f3 estos resultados con nuestros compa\u00f1eros de Cyber Threat Alliance (CTA). Los miembros de CTA utilizan esta inteligencia para implementar r\u00e1pidamente protecciones para sus clientes y desbaratar sistem\u00e1ticamente a los ciberactores malintencionados. Obtenga m\u00e1s informaci\u00f3n sobre Cyber Threat Alliance<\/a>.<\/p>\n<\/a>Recursos adicionales<\/h2>\n\n- What Is the Principle of Least Privilege<\/a> (Qu\u00e9 es el principio de m\u00ednimo privilegio), Palo Alto Networks<\/li>\n
- The IAM Roles Anywhere trust model (El modelo de confianza de IAM Roles Anywhere):<\/a> documentaci\u00f3n oficial de Amazon Web Services<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"
Este an\u00e1lisis del servicio Roles Anywhere de Amazon Web Services (AWS) examina los riesgos potenciales analizados tanto desde el punto de vista del defensor como del atacante. <\/p>\n","protected":false},"author":366,"featured_media":142577,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[8838,8730],"tags":[9291,9292],"product_categories":[8932,8933,8936,8890],"coauthors":[8916],"class_list":["post-145348","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-threat-research-es-la","category-cloud-cybersecurity-research-es-la","tag-aws-es-la","tag-kubernetes-es-la","product_categories-cortex-es-la","product_categories-cortex-cloud-es-la","product_categories-cortex-xsoar-es-la","product_categories-unit-42-incident-response-es-la"],"yoast_head":"\n
\u00bfRoles aqu\u00ed? \u00bfRoles all\u00ed? \u00a1Roles en todas partes! Explorando la seguridad de AWS IAM Roles Anywhere<\/title>\n<meta name=\"description\" content=\"Este an\u00e1lisis del servicio Roles Anywhere de Amazon Web Services (AWS) examina los riesgos potenciales analizados tanto desde el punto de vista del defensor como del atacante. Este an\u00e1lisis del servicio Roles Anywhere de Amazon Web Services (AWS) examina los riesgos potenciales analizados tanto desde el punto de vista del defensor como del atacante.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/aws-roles-anywhere\/\" \/>\n<meta property=\"og:locale\" content=\"es_LA\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"\u00bfRoles aqu\u00ed? \u00bfRoles all\u00ed? \u00a1Roles en todas partes! Explorando la seguridad de AWS IAM Roles Anywhere\" \/>\n<meta property=\"og:description\" content=\"Este an\u00e1lisis del servicio Roles Anywhere de Amazon Web Services (AWS) examina los riesgos potenciales analizados tanto desde el punto de vista del defensor como del atacante. Este an\u00e1lisis del servicio Roles Anywhere de Amazon Web Services (AWS) examina los riesgos potenciales analizados tanto desde el punto de vista del defensor como del atacante.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/aws-roles-anywhere\/\" \/>\n<meta property=\"og:site_name\" content=\"Unit 42\" \/>\n<meta property=\"article:published_time\" content=\"2025-06-09T15:41:47+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2025-07-07T15:48:14+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/06\/01_Cloud_cybersecurity_research_Overview_1920x900.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"1920\" \/>\n\t<meta property=\"og:image:height\" content=\"900\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Itay Saraf\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"\u00bfRoles aqu\u00ed? \u00bfRoles all\u00ed? \u00a1Roles en todas partes! Explorando la seguridad de AWS IAM Roles Anywhere","description":"Este an\u00e1lisis del servicio Roles Anywhere de Amazon Web Services (AWS) examina los riesgos potenciales analizados tanto desde el punto de vista del defensor como del atacante. Este an\u00e1lisis del servicio Roles Anywhere de Amazon Web Services (AWS) examina los riesgos potenciales analizados tanto desde el punto de vista del defensor como del atacante.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/unit42.paloaltonetworks.com\/es-la\/aws-roles-anywhere\/","og_locale":"es_LA","og_type":"article","og_title":"\u00bfRoles aqu\u00ed? \u00bfRoles all\u00ed? \u00a1Roles en todas partes! Explorando la seguridad de AWS IAM Roles Anywhere","og_description":"Este an\u00e1lisis del servicio Roles Anywhere de Amazon Web Services (AWS) examina los riesgos potenciales analizados tanto desde el punto de vista del defensor como del atacante. Este an\u00e1lisis del servicio Roles Anywhere de Amazon Web Services (AWS) examina los riesgos potenciales analizados tanto desde el punto de vista del defensor como del atacante.","og_url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/aws-roles-anywhere\/","og_site_name":"Unit 42","article_published_time":"2025-06-09T15:41:47+00:00","article_modified_time":"2025-07-07T15:48:14+00:00","og_image":[{"width":1920,"height":900,"url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/06\/01_Cloud_cybersecurity_research_Overview_1920x900.jpg","type":"image\/jpeg"}],"author":"Itay Saraf","twitter_card":"summary_large_image","schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/aws-roles-anywhere\/#article","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/aws-roles-anywhere\/"},"author":{"name":"Sheida Azimi","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639"},"headline":"\u00bfRoles aqu\u00ed? \u00bfRoles all\u00ed? \u00a1Roles en todas partes! Explorando la seguridad de AWS IAM Roles Anywhere","datePublished":"2025-06-09T15:41:47+00:00","dateModified":"2025-07-07T15:48:14+00:00","mainEntityOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/aws-roles-anywhere\/"},"wordCount":3552,"commentCount":0,"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/aws-roles-anywhere\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/06\/01_Cloud_cybersecurity_research_Overview_1920x900.jpg","keywords":["AWS","Kubernetes"],"articleSection":["Investigaci\u00f3n de amenazas","Investigaci\u00f3n de ciberseguridad en la nube"],"inLanguage":"es","potentialAction":[{"@type":"CommentAction","name":"Comment","target":["https:\/\/unit42.paloaltonetworks.com\/es-la\/aws-roles-anywhere\/#respond"]}]},{"@type":"WebPage","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/aws-roles-anywhere\/","url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/aws-roles-anywhere\/","name":"\u00bfRoles aqu\u00ed? \u00bfRoles all\u00ed? \u00a1Roles en todas partes! Explorando la seguridad de AWS IAM Roles Anywhere","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#website"},"primaryImageOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/aws-roles-anywhere\/#primaryimage"},"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/aws-roles-anywhere\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/06\/01_Cloud_cybersecurity_research_Overview_1920x900.jpg","datePublished":"2025-06-09T15:41:47+00:00","dateModified":"2025-07-07T15:48:14+00:00","author":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639"},"description":"Este an\u00e1lisis del servicio Roles Anywhere de Amazon Web Services (AWS) examina los riesgos potenciales analizados tanto desde el punto de vista del defensor como del atacante. Este an\u00e1lisis del servicio Roles Anywhere de Amazon Web Services (AWS) examina los riesgos potenciales analizados tanto desde el punto de vista del defensor como del atacante.","breadcrumb":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/aws-roles-anywhere\/#breadcrumb"},"inLanguage":"es","potentialAction":[{"@type":"ReadAction","target":["https:\/\/unit42.paloaltonetworks.com\/es-la\/aws-roles-anywhere\/"]}]},{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/aws-roles-anywhere\/#primaryimage","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/06\/01_Cloud_cybersecurity_research_Overview_1920x900.jpg","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/06\/01_Cloud_cybersecurity_research_Overview_1920x900.jpg","width":1920,"height":900,"caption":"Pictorial representation of AWS Roles Anywhere. Futuristic cityscape with glowing orange and blue structures, elevated clouds, and illuminated, scattered points representing lights or data points."},{"@type":"BreadcrumbList","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/aws-roles-anywhere\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/unit42.paloaltonetworks.com\/"},{"@type":"ListItem","position":2,"name":"\u00bfRoles aqu\u00ed? \u00bfRoles all\u00ed? \u00a1Roles en todas partes! Explorando la seguridad de AWS IAM Roles Anywhere"}]},{"@type":"WebSite","@id":"https:\/\/unit42.paloaltonetworks.com\/#website","url":"https:\/\/unit42.paloaltonetworks.com\/","name":"Unit 42","description":"Palo Alto Networks","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/unit42.paloaltonetworks.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"es"},{"@type":"Person","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639","name":"Sheida Azimi","image":{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/image\/4ffb3c2d260a0150fb91b3715442f8b3","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","caption":"Sheida Azimi"},"url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/author\/sheida-azimi\/"}]}},"_links":{"self":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/145348","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/users\/366"}],"replies":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/comments?post=145348"}],"version-history":[{"count":2,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/145348\/revisions"}],"predecessor-version":[{"id":145427,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/145348\/revisions\/145427"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/media\/142577"}],"wp:attachment":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/media?parent=145348"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/categories?post=145348"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/tags?post=145348"},{"taxonomy":"product_categories","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/product_categories?post=145348"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/coauthors?post=145348"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
<\/a>Componentes y conceptos clave<\/h2>\nEl proceso de autenticaci\u00f3n consta de los siguientes componentes b\u00e1sicos:<\/p>\n
\n- Anclas de confianza:<\/strong> un ancla de confianza es el recurso que representa el certificado de CA en Roles Anywhere. Cuando se crea un ancla de confianza, se le debe adjuntar un certificado de CA. Existen dos tipos de anclas de confianza:\n
\n- Certificado Certificate Manager-Private Certificate Authority de AWS (ACM-PCA)<\/strong>: es un recurso administrado de AWS.<\/li>\n
- Certificado Bundle<\/strong>: un certificado\u00a0X.509 codificado en formato\u00a0ASCII de correo de privacidad mejorada (PEM) que se adjunta directamente al ancla de confianza.<\/li>\n<\/ul>\n<\/li>\n
- Perfiles:<\/strong> son recursos que determinan el nivel de acceso de una entidad autenticada con Roles Anywhere. Los perfiles se asignan con roles de gesti\u00f3n de identidades y accesos (IAM) que definen los permisos y con mecanismos adicionales para ajustar los permisos.<\/li>\n
- Roles de IAM:<\/strong> los roles de IAM se asignan con las pol\u00edticas de IAM reales que conceden (o eliminan) permisos.<\/li>\n<\/ul>\n
![\"Diagrama]()
Figura 1. Vista general del proceso de autenticaci\u00f3n.<\/figcaption><\/figure>\nEn la pr\u00e1ctica, la autenticaci\u00f3n mediante Roles Anywhere se realiza al enviar una solicitud al endpoint \/sessions<\/span>. La solicitud se firma con la clave privada del certificado y se toman como par\u00e1metros el nombre de recurso de Amazon (ARN) del ancla de confianza y los ARN del perfil y el rol.<\/p>\nUna forma sencilla de componer la solicitud es con la herramienta aws_signing_helper<\/a><\/span>. Esta herramienta automatiza el proceso de autenticaci\u00f3n y tambi\u00e9n puede hacer que las credenciales est\u00e9n disponibles localmente al emular el endpoint del servicio de metadatos de instancias de forma muy similar a c\u00f3mo funcionan las instancias de Amazon Elastic Compute Cloud (EC2).<\/p>\nEn la Figura\u00a02, se muestran ejemplos de solicitudes y respuestas utilizando Roles Anywhere.<\/p>\n![\"Captura]()
Figura 2. Ejemplos de solicitud y respuesta para la autenticaci\u00f3n mediante Roles Anywhere.<\/figcaption><\/figure>\n<\/a>Uso regular de Roles Anywhere<\/h3>\nA fin de comprender mejor el flujo de configuraci\u00f3n de Roles Anywhere, considere el siguiente escenario:<\/p>\n
\n- Un pod de Kubernetes externo a AWS necesita acceso para leer objetos en un bucket de Simple Storage Service (S3).<\/li>\n
- El ingeniero de la nube emite un certificado y lo firma con el certificado del ancla de confianza. A continuaci\u00f3n, el certificado firmado se almacena en el pod, junto con su clave privada.<\/li>\n
- El ingeniero crea un rol de IAM que incluye los permisos\u00a0S3 relevantes y lo adjunta a un perfil de Roles Anywhere.<\/li>\n
- El pod de Kubernetes ahora puede utilizar el certificado, as\u00ed como sus credenciales de rol asociadas, junto con la clave para firmar, autenticar y leer objetos dentro del bucket de S3 configurado.<\/li>\n<\/ul>\n
<\/a>Asegurar el proceso de autenticaci\u00f3n por defecto<\/h2>\nUn aspecto interesante de este proceso de autenticaci\u00f3n es que, por defecto, no existe una correlaci\u00f3n entre el ancla de confianza y un perfil espec\u00edfico. Es crucial que las organizaciones comprendan los riesgos que implica esta configuraci\u00f3n y configuren los recursos de Roles Anywhere y las pol\u00edticas de confianza de roles de IAM en consecuencia.<\/p>\n
En otras palabras, las organizaciones deben configurar un certificado de cliente para que est\u00e9 firmado por un ancla de confianza espec\u00edfico y destinado a un perfil espec\u00edfico. Esto impedir\u00e1 el acceso desde cualquier otro perfil y ancla de confianza en la misma cuenta y regi\u00f3n de AWS.<\/p>\n
Para demostrar las posibles consecuencias de este proceso, consideremos el escenario del pod descrito anteriormente. Hasta aqu\u00ed, los pasos del flujo son leg\u00edtimos. En esencia, el pod tiene los permisos exactos que necesita.<\/p>\n
Pero, \u00bfy si un atacante consigue acceder al pod? Si se crearon otros perfiles en la misma cuenta y regi\u00f3n de AWS, el atacante podr\u00eda utilizar el certificado para obtener acceso a los roles de estos perfiles:<\/p>\n
\n- El atacante deduce los ARN de otro rol de IAM que est\u00e1 adjunto al mismo perfil o los ARN y los roles adjuntos de otro perfil. Deducir estos ARN es una tarea compleja que requiere permisos adicionales en el entorno de AWS. Analizamos estas t\u00e9cnicas m\u00e1sadelante en este art\u00edculo<\/a>.<\/li>\n
- Una vez obtenida toda la informaci\u00f3n necesaria, el atacante puede formular peticiones para obtener credenciales de diferentes roles y utilizar sus permisos para realizar operaciones maliciosas.<\/li>\n<\/ul>\n
AWS ofrece varias formas<\/a> para limitar el acceso desde Roles Anywhere con condiciones <\/strong>en la pol\u00edtica de confianza del rol. Sin embargo, la pol\u00edtica de confianza predeterminada de Roles Anywhere no tiene ninguna condici\u00f3n en su declaraci\u00f3n<\/strong>, lo que significa que cualquier entorno que utilice la pol\u00edtica predeterminada no impone limitaciones de acceso. Es responsabilidad de la organizaci\u00f3n asegurarse de que no est\u00e1 utilizando configuraciones predeterminadas para las configuraciones de Roles Anywhere.<\/p>\nCuando se crea un rol por defecto que se utiliza para Roles Anywhere, se establece la siguiente pol\u00edtica de confianza:<\/p>\n
{\r\n\r\n\"Version\": \"2012-10-17\",\r\n\r\n\"Statement\": [\r\n\r\n{\r\n\r\n\"Sid\": \"\",\r\n\r\n\"Effect\": \"Allow\",\r\n\r\n\"Principal\": {\r\n\r\n\"Service\": \"rolesanywhere.amazonaws.com\"\r\n\r\n},\r\n\r\n\"Action\": [\r\n\r\n\"sts:AssumeRole\",\r\n\r\n\"sts:SetSourceIdentity\",\r\n\r\n\"sts:TagSession\"\r\n\r\n]\r\n\r\n}\r\n\r\n]\r\n\r\n}<\/pre>\nEsta pol\u00edtica establece que este rol puede ser asumido por el servicio de Roles Anywhere<\/strong>. Sin embargo, no existen otras restricciones para las fuentes que pueden asumirlo. Esto significa que, si se asigna un rol a un perfil, cualquier certificado firmado por un ancla de confianza en la misma regi\u00f3n puede asumir este rol.<\/p>\nPara solucionarlo, AWS cre\u00f3 la secci\u00f3n Condici\u00f3n en la pol\u00edtica. Las condiciones permiten imponer restricciones adicionales a los recursos, especificando los requisitos que estos deben cumplir para llevar a cabo una acci\u00f3n.<\/p>\n
La siguiente pol\u00edtica a\u00f1ade la secci\u00f3n Condici\u00f3n sobre la pol\u00edtica por defecto para limitar el acceso de la autenticaci\u00f3n Roles Anywhere al rol, solo desde un ancla de confianza espec\u00edfica.<\/p>\n
{\r\n\r\n\"Version\": \"2012-10-17\",\r\n\r\n\"Statement\": [\r\n\r\n{\r\n\r\n\"Sid\": \"\",\r\n\r\n\"Effect\": \"Allow\",\r\n\r\n\"Principal\": {\r\n\r\n\"Service\": \"rolesanywhere.amazonaws.com\"\r\n\r\n},\r\n\r\n\"Action\": [\r\n\r\n\"sts:AssumeRole\",\r\n\r\n\"sts:SetSourceIdentity\",\r\n\r\n\"sts:TagSession\"\r\n\r\n],\r\n\r\n\"Condition\": {\r\n\r\n\"ArnEquals\": {\r\n\r\n\"aws:SourceArn\": [\r\n\r\n\"arn:aws:rolesanywhere:region:account:trust-anchor\/TA_ID\"\r\n\r\n]\r\n\r\n}\r\n\r\n}\r\n\r\n}\r\n\r\n]\r\n\r\n}<\/pre>\nPara limitar a\u00fan m\u00e1s el acceso de los certificados firmados, recomendamos aprovechar la asignaci\u00f3n de atributos de certificado<\/strong>. AWS tambi\u00e9n lo recomienda en la documentaci\u00f3n de Roles Anywhere<\/a>:<\/p>\n![\"Notificaci\u00f3n]()
Figura 3. Recomendaci\u00f3n de AWS de utilizar la asignaci\u00f3n de atributos.<\/figcaption><\/figure>\nB\u00e1sicamente, es posible asignar los atributos de un certificado a valores que se evaluar\u00e1n en la pol\u00edtica de confianza. Se puede utilizar para especificar el acceso a roles en funci\u00f3n del nombre com\u00fan del certificado, la unidad organizativa o cualquier otro atributo del certificado.<\/p>\n
Se recomienda porque, si un recurso que utiliza Roles Anywhere para la autenticaci\u00f3n se ve comprometido, se garantiza que no podr\u00e1 acceder a roles adicionales.<\/p>\n
La siguiente condici\u00f3n utiliza la condici\u00f3n de ancla de confianza de la \u00faltima secci\u00f3n y tambi\u00e9n limita el acceso en funci\u00f3n de los atributos del certificado:<\/p>\n
\"Condition\": {\r\n\r\n\"ArnEquals\": {\r\n\r\n\"aws:SourceArn\": [\r\n\r\n\"arn:aws:rolesanywhere:region:account:trust-anchor\/TA_ID\"\r\n\r\n]\r\n\r\n},\r\n\r\n\"StringEquals\": {\r\n\r\n\"aws:PrincipalTag\/x509Subject\/CN\": \"COMMON_NAME\"\r\n\r\n}\r\n\r\n}<\/pre>\nAl igual que con cualquier otro servicio, debe tenerse en cuenta el principio de m\u00ednimo privilegio al implementar la infraestructura de Roles Anywhere. Para ello, debe utilizarse la asignaci\u00f3n de atributos de certificado.<\/p>\n
<\/a>Perspectiva del actor de amenazas<\/h2>\n<\/a>Escenario n.\u00ba\u00a01: uso de certificados y claves privadas v\u00e1lidos por parte del atacante<\/h3>\nComo se ha indicado anteriormente, los siguientes datos son necesarios para autenticarse utilizando Roles Anywhere:<\/p>\n
\n- El certificado de cliente<\/li>\n
- La clave privada del certificado de cliente<\/li>\n
- El ARN del ancla de confianza que firm\u00f3 el certificado<\/li>\n
- El ARN de un perfil en la misma regi\u00f3n<\/li>\n
- El ARN de un rol de IAM que se adjunta al perfil<\/li>\n<\/ul>\n
En el siguiente escenario, un atacante compromete una configuraci\u00f3n predeterminada de Roles Anywhere para un certificado de cliente que se utiliza para la autenticaci\u00f3n con su clave privada. A fin de aprovechar maliciosamente la configuraci\u00f3n predeterminada para acceder a roles adicionales en la cuenta, el atacante a\u00fan necesita descubrir los ARN de los recursos relevantes para autenticarse en AWS. La obtenci\u00f3n de los ARN no es una tarea sencilla y requiere privilegios independientes adicionales dentro de la cuenta.<\/p>\n
Se pueden utilizar las siguientes t\u00e9cnicas para obtener esta informaci\u00f3n:<\/p>\n
\n- Uso de las acciones de Roles Anywhere: <\/strong>Un atacante que haya obtenido suficientes permisos para el servicio de Roles Anywhere puede simplemente ejecutar acciones para obtener los ARN relevantes. Puede hacerlo utilizando las acciones list-trust-anchors<\/span> y list-profiles<\/span>, que requieren los permisos rolesanywhere:ListTrustAnchors<\/span> y rolesanywhere:ListProfiles<\/span>, respectivamente. El resultado de estas acciones contiene todos los ARN necesarios para la solicitud de autenticaci\u00f3n, ya que el comando list-profiles<\/span> devolver\u00e1 todos los roles que est\u00e1n adjuntos al perfil.<\/li>\n
- Recuperar datos de los registros<\/strong>: CloudTrail<\/a> es el principal mecanismo de registro de AWS. Entre los registros de CloudTrail, un atacante con acceso independiente a los registros de CloudTrail (o a los servicios de almacenamiento que los contienen) podr\u00eda localizar elementos creados por el servicio de Roles Anywhere. Algunos registros de CloudTrail contienen todos los ARN necesarios para el proceso de autenticaci\u00f3n. Los registros del servicio de Roles Anywhere revelan estos ARN en los eventos de varias acciones.<\/li>\n<\/ul>\n
El registro m\u00e1s relevante es CreateSession<\/span>. Este registro se crea cuando se utiliza Roles Anywhere para la autenticaci\u00f3n, es decir, para crear credenciales temporales y enviarlas al usuario. En la Figura\u00a03, se muestra un ejemplo de una entrada del registro CreateSession<\/span> y se anota el ARN asociado.<\/p>\n![\"Captura]()
Figura 4. Registro de CreateSession<\/span> de CloudTrail.<\/figcaption><\/figure>\nLos ARN de un ancla de confianza, un perfil y uno de sus roles adjuntos aparecen en este registro de eventos. Si el certificado del atacante fue firmado por el ancla de confianza que aparece en el registro, puede utilizarlo para realizar la autenticaci\u00f3n.<\/p>\n
En la Figura\u00a05, se muestra una ilustraci\u00f3n general de los pasos de los atacantes.<\/p>\n![\"Diagrama]()
Figura 5. Vista general de los pasos de los atacantes.<\/figcaption><\/figure>\n<\/a>Escenario n.\u00ba\u00a02: explotaci\u00f3n de los permisos directos a Roles Anywhere<\/h3>\nOtro escenario en el que se podr\u00eda explotar una configuraci\u00f3n predeterminada del servicio de Roles Anywhere es cuando un atacante obtiene acceso a una identidad que tiene permisos de Roles Anywhere. Estos permisos pueden concederse mediante una declaraci\u00f3n Allow<\/span> directa en el servicio o a trav\u00e9s del elemento NotAction<\/span>.<\/p>\nLos siguientes pasos pueden utilizarse para aprovechar estos permisos:<\/p>\n
\n- El atacante obtiene acceso a una identidad que tiene configuraciones y permisos predeterminados de Roles Anywhere.<\/li>\n
- El atacante crea dos certificados: un certificado de CA y un certificado de cliente; y luego utiliza el certificado de CA para firmar el certificado de cliente. Al haber creado los certificados, el atacante tambi\u00e9n posee sus claves privadas.<\/li>\n
- El atacante utiliza la identidad comprometida para crear un ancla de confianza y adjunta el certificado de CA al ancla.<\/li>\n
- Utilizando permisos de list<\/span> de Roles Anywhere, el atacante recopila perfiles y ARN de roles de IAM.<\/li>\n
- Utilizando los ARN, el certificado de cliente y su clave privada, el atacante se autentica utilizando Roles Anywhere.<\/li>\n
- Si la pol\u00edtica de confianza del rol de IAM deniega el acceso, el atacante puede comprobar los temas de Roles Anywhere para encontrar detalles sobre un certificado que se utiliz\u00f3 anteriormente para la autenticaci\u00f3n y copiar los campos en un nuevo certificado de cliente.<\/li>\n<\/ul>\n
En m\u00e1s detalle, un atacante con suficientes permisos de Roles Anywhere puede crear un certificado, firmarlo con el propio certificado de CA del atacante y subirlo a un ancla de confianza nuevo o existente. Esto requiere los permisos rolesanywhere:CreateTrustAnchor<\/span> o rolesanywhere:UpdateTrustAnchor<\/span>.<\/p>\nDado que el atacante controla tanto el certificado de cliente como el certificado de CA, el certificado ser\u00e1 v\u00e1lido. El siguiente paso es saber qu\u00e9 perfiles y roles est\u00e1n disponibles utilizando el comando list-profiles<\/span> de Roles Anywhere o cualquier otra t\u00e9cnica mencionada anteriormente.<\/p>\nCon esta informaci\u00f3n, el atacante puede crear credenciales a trav\u00e9s de Roles Anywhere y realizar operaciones en el contexto del rol que se utiliz\u00f3.<\/p>\n
Si las medidas de seguridad de la organizaci\u00f3n objetivo no detectan la actividad maliciosa, este proceso tambi\u00e9n act\u00faa como un vector de persistencia para el atacante, ya que se puede utilizar un ancla de confianza para generar credenciales v\u00e1lidas hasta que se resuelva el problema.<\/p>\n
<\/a>Mitigaciones y recomendaciones<\/h2>\n\n- Recomendamos encarecidamente a\u00f1adir condiciones a la pol\u00edtica de confianza predeterminada de los roles que se utilizan con Roles Anywhere.<\/strong> Como se mencion\u00f3 anteriormente, la pol\u00edtica predeterminada permite que cualquier ancla de confianza asuma el rol. Es esencial limitar el acceso al rol solo desde un ancla de confianza espec\u00edfico: el que se utiliza para autenticar la carga de trabajo relevante.<\/li>\n<\/ul>\n
\"Condition\": {\r\n\r\n\"ArnEquals\": {\r\n\r\n\"aws:SourceArn\": [\r\n\r\n\"arn:aws:rolesanywhere:region:account:trust-anchor\/TA_ID\"\r\n\r\n]\r\n\r\n}\r\n\r\n}<\/pre>\nTambi\u00e9n deben aplicarse condiciones adicionales para limitar el acceso solo a los certificados con determinados atributos, como el nombre com\u00fan o la organizaci\u00f3n. Sin embargo, estas condiciones no son una soluci\u00f3n m\u00e1gica y pueden obviarse en determinadas circunstancias. Por ejemplo, ser\u00eda posible un desv\u00edo si un atacante fuera capaz de extraer informaci\u00f3n de atributos del certificado.<\/p>\n
\n- Recomendamos utilizar anclas de confianza del tipo ACM-PCA.<\/strong> Cuando se utiliza ACM-PCA, ni siquiera un atacante que obtenga acceso completo al servicio de Roles Anywhere podr\u00e1 cargar su propio certificado de CA generado en el ancla de confianza. El tipo de ancla de confianza no se puede cambiar, lo que significa que se necesitan permisos ACM-PCA (que no son comunes) para autenticarse.\n
\n- Este es un punto fundamental. Si los roles que deben asumir las anclas de confianza utilizan la condici\u00f3n de la soluci\u00f3n anterior, no se podr\u00e1 acceder a ellos. Debemos tener en cuenta que las CA privadas en AWS tienen sus propias consideraciones de seguridad y tambi\u00e9n pueden suponer un riesgo si no se configuran correctamente<\/li>\n<\/ul>\n<\/li>\n
- Los permisos deben asignarse siempre seg\u00fan el principio del menor privilegio.<\/strong> La capacidad de autenticarse con Roles Anywhere suele otorgarse a identidades no humanas, y los dispositivos que utilizan este servicio suelen tener tareas espec\u00edficas y predeterminadas que deben realizar. Por lo tanto, el nivel de acceso de estas identidades no debe exceder los requisitos de las tareas que se les asignen. Aparte de los propios roles de IAM, es posible asociar una pol\u00edtica de sesi\u00f3n a un perfil. Esta pol\u00edtica define los permisos m\u00e1ximos que puede tener el rol cuando se asume a trav\u00e9s de Roles Anywhere.<\/li>\n
- Supervise y realice un seguimiento peri\u00f3dico de los recursos de IAM Roles Anywhere de AWS<\/strong>: es crucial mantener una supervisi\u00f3n continua de las anclas de confianza, los perfiles y los recursos asociados. Las anclas y los perfiles de confianza no se crean con frecuencia, lo que hace que su creaci\u00f3n o modificaci\u00f3n sean eventos sospechosos. Cualquier cambio inesperado en estos recursos debe investigarse inmediatamente para asegurarse de que no se est\u00e9 realizando ninguna actividad no autorizada. Las auditor\u00edas peri\u00f3dicas y las alertas automatizadas pueden ayudar a detectar y responder a tiempo a posibles amenazas para la seguridad.<\/li>\n
- Ejecute la siguiente consulta\u00a0XQL en Cortex Query Builder para identificar los roles que conf\u00edan en el servicio de Roles Anywhere, pero que no aplican ninguna condici\u00f3n.<\/li>\n<\/ul>\n
dataset = asset_inventory\r\n\r\n| filter xdm.asset.type.id = \"AWS_IAM_ROLE\" and xdm.asset.raw_fields != null\r\n\r\n| fields xdm.asset.id as asset_id, xdm.asset.raw_fields\r\n\r\n| alter statements = json_extract_array(xdm.asset.raw_fields, \"$['Platform Discovery'].Role.AssumeRolePolicyDocument.Statement\")\r\n\r\n| arrayexpand statements\r\n\r\n| alter principal = json_extract(statements ,\"$.Principal\")\r\n\r\n| alter condition = json_extract(statements, \"$.Condition\")\r\n\r\n| alter service1 = json_extract_scalar(principal ,\"$.Service\")\r\n\r\n| alter service1_array = if(service1 != null, arraycreate(service1), arraycreate(\"null\"))\r\n\r\n| alter serviceA = json_extract_scalar_array(principal ,\"$.Service\")\r\n\r\n| alter service = if(service1 != null, service1_array ,serviceA)\r\n\r\n| arrayexpand service\r\n\r\n| filter service = \"rolesanywhere.amazonaws.com\"\r\n\r\n| fields asset_id, service, condition, principal, statements, xdm.asset.raw_fields\r\n\r\n| alter is_condition_empty = if(condition != null, false, true)\r\n\r\n| filter is_condition_empty = true<\/pre>\nConclusi\u00f3n<\/strong><\/h2>\nEn este art\u00edculo, se han explorado los riesgos clave asociados con el uso de configuraciones predeterminadas para el servicio de Roles Anywhere de AWS, tanto desde la perspectiva de un posible atacante como desde la perspectiva de un defensor. Hemos proporcionado varias estrategias de mitigaci\u00f3n que las organizaciones deber\u00edan implementar para gestionar mejor los riesgos asociados. Esperamos que este an\u00e1lisis ayude a los lectores a comprender mejor las vulnerabilidades potenciales que implica el uso de la funcionalidad por defecto de este servicio, y la mejor manera de mitigarlas.<\/p>\n
Una de las principales conclusiones de este art\u00edculo es que, cuando se utilizan servicios de proveedores en la nube, es fundamental comprender a fondo las configuraciones y la arquitectura, en lugar de confiar en ellos sin sentido cr\u00edtico.<\/p>\n
\n- Siga las pr\u00e1cticas recomendadas de seguridad, los privilegios m\u00ednimos y las estrategias de defensa en profundidad.<\/li>\n
- Esto ayuda a garantizar que los servicios est\u00e9n correctamente dise\u00f1ados y supervisados para detectar modificaciones en la configuraci\u00f3n.<\/li>\n
- Mantener la supervisi\u00f3n en tiempo de ejecuci\u00f3n ayudar\u00e1 a garantizar que las plataformas en la nube personalizadas funcionen de forma segura.<\/li>\n<\/ul>\n
Cortex Cloud<\/a> proporciona protecciones contra los errores de configuraci\u00f3n de la infraestructura de clave p\u00fablica (PKI) detallados en este art\u00edculo. Mediante el uso de reglas basadas en el agente de Cloud\u00a0XDR y reglas anal\u00edticas de comportamiento para detectar cuando se est\u00e1n usando mal las pol\u00edticas de IAM, Cortex Cloud es capaz de detectar y prevenir operaciones maliciosas que usan sus capacidades de automatizaci\u00f3n de la plataforma\u00a0XSOAR.<\/p>\nLas organizaciones pueden obtener ayuda para evaluar la postura de seguridad en la nube a trav\u00e9s de la Evaluaci\u00f3n de seguridad en la nube de Unit\u00a042<\/a>.<\/p>\nSi cree que su seguridad puede haber sido comprometida o si tiene un asunto urgente, p\u00f3ngase en contacto con el equipo de respuesta a incidentes de Unit\u00a042<\/a> o llame a los siguientes n\u00fameros:<\/p>\n\n- Am\u00e9rica del Norte: Llamada gratuita: +1 (866) 486-4842 (866.4.UNIT42)<\/li>\n
- REINO UNIDO: +44.20.3743.3660<\/li>\n
- Europa y Oriente Medio: +31.20.299.3130<\/li>\n
- Asia: +65.6983.8730<\/li>\n
- Jap\u00f3n: +81.50.1790.0200<\/li>\n
- Australia: +61.2.4062.7950<\/li>\n
- India: 00080005045107<\/li>\n<\/ul>\n
Palo Alto Networks comparti\u00f3 estos resultados con nuestros compa\u00f1eros de Cyber Threat Alliance (CTA). Los miembros de CTA utilizan esta inteligencia para implementar r\u00e1pidamente protecciones para sus clientes y desbaratar sistem\u00e1ticamente a los ciberactores malintencionados. Obtenga m\u00e1s informaci\u00f3n sobre Cyber Threat Alliance<\/a>.<\/p>\n<\/a>Recursos adicionales<\/h2>\n\n- What Is the Principle of Least Privilege<\/a> (Qu\u00e9 es el principio de m\u00ednimo privilegio), Palo Alto Networks<\/li>\n
- The IAM Roles Anywhere trust model (El modelo de confianza de IAM Roles Anywhere):<\/a> documentaci\u00f3n oficial de Amazon Web Services<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"
Este an\u00e1lisis del servicio Roles Anywhere de Amazon Web Services (AWS) examina los riesgos potenciales analizados tanto desde el punto de vista del defensor como del atacante. <\/p>\n","protected":false},"author":366,"featured_media":142577,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[8838,8730],"tags":[9291,9292],"product_categories":[8932,8933,8936,8890],"coauthors":[8916],"class_list":["post-145348","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-threat-research-es-la","category-cloud-cybersecurity-research-es-la","tag-aws-es-la","tag-kubernetes-es-la","product_categories-cortex-es-la","product_categories-cortex-cloud-es-la","product_categories-cortex-xsoar-es-la","product_categories-unit-42-incident-response-es-la"],"yoast_head":"\n
\u00bfRoles aqu\u00ed? \u00bfRoles all\u00ed? \u00a1Roles en todas partes! Explorando la seguridad de AWS IAM Roles Anywhere<\/title>\n<meta name=\"description\" content=\"Este an\u00e1lisis del servicio Roles Anywhere de Amazon Web Services (AWS) examina los riesgos potenciales analizados tanto desde el punto de vista del defensor como del atacante. Este an\u00e1lisis del servicio Roles Anywhere de Amazon Web Services (AWS) examina los riesgos potenciales analizados tanto desde el punto de vista del defensor como del atacante.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/aws-roles-anywhere\/\" \/>\n<meta property=\"og:locale\" content=\"es_LA\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"\u00bfRoles aqu\u00ed? \u00bfRoles all\u00ed? \u00a1Roles en todas partes! Explorando la seguridad de AWS IAM Roles Anywhere\" \/>\n<meta property=\"og:description\" content=\"Este an\u00e1lisis del servicio Roles Anywhere de Amazon Web Services (AWS) examina los riesgos potenciales analizados tanto desde el punto de vista del defensor como del atacante. Este an\u00e1lisis del servicio Roles Anywhere de Amazon Web Services (AWS) examina los riesgos potenciales analizados tanto desde el punto de vista del defensor como del atacante.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/aws-roles-anywhere\/\" \/>\n<meta property=\"og:site_name\" content=\"Unit 42\" \/>\n<meta property=\"article:published_time\" content=\"2025-06-09T15:41:47+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2025-07-07T15:48:14+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/06\/01_Cloud_cybersecurity_research_Overview_1920x900.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"1920\" \/>\n\t<meta property=\"og:image:height\" content=\"900\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Itay Saraf\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"\u00bfRoles aqu\u00ed? \u00bfRoles all\u00ed? \u00a1Roles en todas partes! Explorando la seguridad de AWS IAM Roles Anywhere","description":"Este an\u00e1lisis del servicio Roles Anywhere de Amazon Web Services (AWS) examina los riesgos potenciales analizados tanto desde el punto de vista del defensor como del atacante. Este an\u00e1lisis del servicio Roles Anywhere de Amazon Web Services (AWS) examina los riesgos potenciales analizados tanto desde el punto de vista del defensor como del atacante.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/unit42.paloaltonetworks.com\/es-la\/aws-roles-anywhere\/","og_locale":"es_LA","og_type":"article","og_title":"\u00bfRoles aqu\u00ed? \u00bfRoles all\u00ed? \u00a1Roles en todas partes! Explorando la seguridad de AWS IAM Roles Anywhere","og_description":"Este an\u00e1lisis del servicio Roles Anywhere de Amazon Web Services (AWS) examina los riesgos potenciales analizados tanto desde el punto de vista del defensor como del atacante. Este an\u00e1lisis del servicio Roles Anywhere de Amazon Web Services (AWS) examina los riesgos potenciales analizados tanto desde el punto de vista del defensor como del atacante.","og_url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/aws-roles-anywhere\/","og_site_name":"Unit 42","article_published_time":"2025-06-09T15:41:47+00:00","article_modified_time":"2025-07-07T15:48:14+00:00","og_image":[{"width":1920,"height":900,"url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/06\/01_Cloud_cybersecurity_research_Overview_1920x900.jpg","type":"image\/jpeg"}],"author":"Itay Saraf","twitter_card":"summary_large_image","schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/aws-roles-anywhere\/#article","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/aws-roles-anywhere\/"},"author":{"name":"Sheida Azimi","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639"},"headline":"\u00bfRoles aqu\u00ed? \u00bfRoles all\u00ed? \u00a1Roles en todas partes! Explorando la seguridad de AWS IAM Roles Anywhere","datePublished":"2025-06-09T15:41:47+00:00","dateModified":"2025-07-07T15:48:14+00:00","mainEntityOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/aws-roles-anywhere\/"},"wordCount":3552,"commentCount":0,"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/aws-roles-anywhere\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/06\/01_Cloud_cybersecurity_research_Overview_1920x900.jpg","keywords":["AWS","Kubernetes"],"articleSection":["Investigaci\u00f3n de amenazas","Investigaci\u00f3n de ciberseguridad en la nube"],"inLanguage":"es","potentialAction":[{"@type":"CommentAction","name":"Comment","target":["https:\/\/unit42.paloaltonetworks.com\/es-la\/aws-roles-anywhere\/#respond"]}]},{"@type":"WebPage","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/aws-roles-anywhere\/","url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/aws-roles-anywhere\/","name":"\u00bfRoles aqu\u00ed? \u00bfRoles all\u00ed? \u00a1Roles en todas partes! Explorando la seguridad de AWS IAM Roles Anywhere","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#website"},"primaryImageOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/aws-roles-anywhere\/#primaryimage"},"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/aws-roles-anywhere\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/06\/01_Cloud_cybersecurity_research_Overview_1920x900.jpg","datePublished":"2025-06-09T15:41:47+00:00","dateModified":"2025-07-07T15:48:14+00:00","author":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639"},"description":"Este an\u00e1lisis del servicio Roles Anywhere de Amazon Web Services (AWS) examina los riesgos potenciales analizados tanto desde el punto de vista del defensor como del atacante. Este an\u00e1lisis del servicio Roles Anywhere de Amazon Web Services (AWS) examina los riesgos potenciales analizados tanto desde el punto de vista del defensor como del atacante.","breadcrumb":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/aws-roles-anywhere\/#breadcrumb"},"inLanguage":"es","potentialAction":[{"@type":"ReadAction","target":["https:\/\/unit42.paloaltonetworks.com\/es-la\/aws-roles-anywhere\/"]}]},{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/aws-roles-anywhere\/#primaryimage","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/06\/01_Cloud_cybersecurity_research_Overview_1920x900.jpg","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/06\/01_Cloud_cybersecurity_research_Overview_1920x900.jpg","width":1920,"height":900,"caption":"Pictorial representation of AWS Roles Anywhere. Futuristic cityscape with glowing orange and blue structures, elevated clouds, and illuminated, scattered points representing lights or data points."},{"@type":"BreadcrumbList","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/aws-roles-anywhere\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/unit42.paloaltonetworks.com\/"},{"@type":"ListItem","position":2,"name":"\u00bfRoles aqu\u00ed? \u00bfRoles all\u00ed? \u00a1Roles en todas partes! Explorando la seguridad de AWS IAM Roles Anywhere"}]},{"@type":"WebSite","@id":"https:\/\/unit42.paloaltonetworks.com\/#website","url":"https:\/\/unit42.paloaltonetworks.com\/","name":"Unit 42","description":"Palo Alto Networks","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/unit42.paloaltonetworks.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"es"},{"@type":"Person","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639","name":"Sheida Azimi","image":{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/image\/4ffb3c2d260a0150fb91b3715442f8b3","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","caption":"Sheida Azimi"},"url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/author\/sheida-azimi\/"}]}},"_links":{"self":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/145348","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/users\/366"}],"replies":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/comments?post=145348"}],"version-history":[{"count":2,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/145348\/revisions"}],"predecessor-version":[{"id":145427,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/145348\/revisions\/145427"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/media\/142577"}],"wp:attachment":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/media?parent=145348"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/categories?post=145348"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/tags?post=145348"},{"taxonomy":"product_categories","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/product_categories?post=145348"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/coauthors?post=145348"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
- \n
- Certificado Certificate Manager-Private Certificate Authority de AWS (ACM-PCA)<\/strong>: es un recurso administrado de AWS.<\/li>\n
- Certificado Bundle<\/strong>: un certificado\u00a0X.509 codificado en formato\u00a0ASCII de correo de privacidad mejorada (PEM) que se adjunta directamente al ancla de confianza.<\/li>\n<\/ul>\n<\/li>\n
- Perfiles:<\/strong> son recursos que determinan el nivel de acceso de una entidad autenticada con Roles Anywhere. Los perfiles se asignan con roles de gesti\u00f3n de identidades y accesos (IAM) que definen los permisos y con mecanismos adicionales para ajustar los permisos.<\/li>\n
- Roles de IAM:<\/strong> los roles de IAM se asignan con las pol\u00edticas de IAM reales que conceden (o eliminan) permisos.<\/li>\n<\/ul>\n
![\"Diagrama]()
Figura 1. Vista general del proceso de autenticaci\u00f3n.<\/figcaption><\/figure>\n En la pr\u00e1ctica, la autenticaci\u00f3n mediante Roles Anywhere se realiza al enviar una solicitud al endpoint \/sessions<\/span>. La solicitud se firma con la clave privada del certificado y se toman como par\u00e1metros el nombre de recurso de Amazon (ARN) del ancla de confianza y los ARN del perfil y el rol.<\/p>\n
Una forma sencilla de componer la solicitud es con la herramienta aws_signing_helper<\/a><\/span>. Esta herramienta automatiza el proceso de autenticaci\u00f3n y tambi\u00e9n puede hacer que las credenciales est\u00e9n disponibles localmente al emular el endpoint del servicio de metadatos de instancias de forma muy similar a c\u00f3mo funcionan las instancias de Amazon Elastic Compute Cloud (EC2).<\/p>\n
En la Figura\u00a02, se muestran ejemplos de solicitudes y respuestas utilizando Roles Anywhere.<\/p>\n
![\"Captura]()
Figura 2. Ejemplos de solicitud y respuesta para la autenticaci\u00f3n mediante Roles Anywhere.<\/figcaption><\/figure>\n <\/a>Uso regular de Roles Anywhere<\/h3>\n
A fin de comprender mejor el flujo de configuraci\u00f3n de Roles Anywhere, considere el siguiente escenario:<\/p>\n
- \n
- Un pod de Kubernetes externo a AWS necesita acceso para leer objetos en un bucket de Simple Storage Service (S3).<\/li>\n
- El ingeniero de la nube emite un certificado y lo firma con el certificado del ancla de confianza. A continuaci\u00f3n, el certificado firmado se almacena en el pod, junto con su clave privada.<\/li>\n
- El ingeniero crea un rol de IAM que incluye los permisos\u00a0S3 relevantes y lo adjunta a un perfil de Roles Anywhere.<\/li>\n
- El pod de Kubernetes ahora puede utilizar el certificado, as\u00ed como sus credenciales de rol asociadas, junto con la clave para firmar, autenticar y leer objetos dentro del bucket de S3 configurado.<\/li>\n<\/ul>\n
<\/a>Asegurar el proceso de autenticaci\u00f3n por defecto<\/h2>\n
Un aspecto interesante de este proceso de autenticaci\u00f3n es que, por defecto, no existe una correlaci\u00f3n entre el ancla de confianza y un perfil espec\u00edfico. Es crucial que las organizaciones comprendan los riesgos que implica esta configuraci\u00f3n y configuren los recursos de Roles Anywhere y las pol\u00edticas de confianza de roles de IAM en consecuencia.<\/p>\n
En otras palabras, las organizaciones deben configurar un certificado de cliente para que est\u00e9 firmado por un ancla de confianza espec\u00edfico y destinado a un perfil espec\u00edfico. Esto impedir\u00e1 el acceso desde cualquier otro perfil y ancla de confianza en la misma cuenta y regi\u00f3n de AWS.<\/p>\n
Para demostrar las posibles consecuencias de este proceso, consideremos el escenario del pod descrito anteriormente. Hasta aqu\u00ed, los pasos del flujo son leg\u00edtimos. En esencia, el pod tiene los permisos exactos que necesita.<\/p>\n
Pero, \u00bfy si un atacante consigue acceder al pod? Si se crearon otros perfiles en la misma cuenta y regi\u00f3n de AWS, el atacante podr\u00eda utilizar el certificado para obtener acceso a los roles de estos perfiles:<\/p>\n
- \n
- El atacante deduce los ARN de otro rol de IAM que est\u00e1 adjunto al mismo perfil o los ARN y los roles adjuntos de otro perfil. Deducir estos ARN es una tarea compleja que requiere permisos adicionales en el entorno de AWS. Analizamos estas t\u00e9cnicas m\u00e1sadelante en este art\u00edculo<\/a>.<\/li>\n
- Una vez obtenida toda la informaci\u00f3n necesaria, el atacante puede formular peticiones para obtener credenciales de diferentes roles y utilizar sus permisos para realizar operaciones maliciosas.<\/li>\n<\/ul>\n
AWS ofrece varias formas<\/a> para limitar el acceso desde Roles Anywhere con condiciones <\/strong>en la pol\u00edtica de confianza del rol. Sin embargo, la pol\u00edtica de confianza predeterminada de Roles Anywhere no tiene ninguna condici\u00f3n en su declaraci\u00f3n<\/strong>, lo que significa que cualquier entorno que utilice la pol\u00edtica predeterminada no impone limitaciones de acceso. Es responsabilidad de la organizaci\u00f3n asegurarse de que no est\u00e1 utilizando configuraciones predeterminadas para las configuraciones de Roles Anywhere.<\/p>\n
Cuando se crea un rol por defecto que se utiliza para Roles Anywhere, se establece la siguiente pol\u00edtica de confianza:<\/p>\n
{\r\n\r\n\"Version\": \"2012-10-17\",\r\n\r\n\"Statement\": [\r\n\r\n{\r\n\r\n\"Sid\": \"\",\r\n\r\n\"Effect\": \"Allow\",\r\n\r\n\"Principal\": {\r\n\r\n\"Service\": \"rolesanywhere.amazonaws.com\"\r\n\r\n},\r\n\r\n\"Action\": [\r\n\r\n\"sts:AssumeRole\",\r\n\r\n\"sts:SetSourceIdentity\",\r\n\r\n\"sts:TagSession\"\r\n\r\n]\r\n\r\n}\r\n\r\n]\r\n\r\n}<\/pre>\nEsta pol\u00edtica establece que este rol puede ser asumido por el servicio de Roles Anywhere<\/strong>. Sin embargo, no existen otras restricciones para las fuentes que pueden asumirlo. Esto significa que, si se asigna un rol a un perfil, cualquier certificado firmado por un ancla de confianza en la misma regi\u00f3n puede asumir este rol.<\/p>\n
Para solucionarlo, AWS cre\u00f3 la secci\u00f3n Condici\u00f3n en la pol\u00edtica. Las condiciones permiten imponer restricciones adicionales a los recursos, especificando los requisitos que estos deben cumplir para llevar a cabo una acci\u00f3n.<\/p>\n
La siguiente pol\u00edtica a\u00f1ade la secci\u00f3n Condici\u00f3n sobre la pol\u00edtica por defecto para limitar el acceso de la autenticaci\u00f3n Roles Anywhere al rol, solo desde un ancla de confianza espec\u00edfica.<\/p>\n
{\r\n\r\n\"Version\": \"2012-10-17\",\r\n\r\n\"Statement\": [\r\n\r\n{\r\n\r\n\"Sid\": \"\",\r\n\r\n\"Effect\": \"Allow\",\r\n\r\n\"Principal\": {\r\n\r\n\"Service\": \"rolesanywhere.amazonaws.com\"\r\n\r\n},\r\n\r\n\"Action\": [\r\n\r\n\"sts:AssumeRole\",\r\n\r\n\"sts:SetSourceIdentity\",\r\n\r\n\"sts:TagSession\"\r\n\r\n],\r\n\r\n\"Condition\": {\r\n\r\n\"ArnEquals\": {\r\n\r\n\"aws:SourceArn\": [\r\n\r\n\"arn:aws:rolesanywhere:region:account:trust-anchor\/TA_ID\"\r\n\r\n]\r\n\r\n}\r\n\r\n}\r\n\r\n}\r\n\r\n]\r\n\r\n}<\/pre>\nPara limitar a\u00fan m\u00e1s el acceso de los certificados firmados, recomendamos aprovechar la asignaci\u00f3n de atributos de certificado<\/strong>. AWS tambi\u00e9n lo recomienda en la documentaci\u00f3n de Roles Anywhere<\/a>:<\/p>\n
![\"Notificaci\u00f3n]()
Figura 3. Recomendaci\u00f3n de AWS de utilizar la asignaci\u00f3n de atributos.<\/figcaption><\/figure>\n B\u00e1sicamente, es posible asignar los atributos de un certificado a valores que se evaluar\u00e1n en la pol\u00edtica de confianza. Se puede utilizar para especificar el acceso a roles en funci\u00f3n del nombre com\u00fan del certificado, la unidad organizativa o cualquier otro atributo del certificado.<\/p>\n
Se recomienda porque, si un recurso que utiliza Roles Anywhere para la autenticaci\u00f3n se ve comprometido, se garantiza que no podr\u00e1 acceder a roles adicionales.<\/p>\n
La siguiente condici\u00f3n utiliza la condici\u00f3n de ancla de confianza de la \u00faltima secci\u00f3n y tambi\u00e9n limita el acceso en funci\u00f3n de los atributos del certificado:<\/p>\n
\"Condition\": {\r\n\r\n\"ArnEquals\": {\r\n\r\n\"aws:SourceArn\": [\r\n\r\n\"arn:aws:rolesanywhere:region:account:trust-anchor\/TA_ID\"\r\n\r\n]\r\n\r\n},\r\n\r\n\"StringEquals\": {\r\n\r\n\"aws:PrincipalTag\/x509Subject\/CN\": \"COMMON_NAME\"\r\n\r\n}\r\n\r\n}<\/pre>\nAl igual que con cualquier otro servicio, debe tenerse en cuenta el principio de m\u00ednimo privilegio al implementar la infraestructura de Roles Anywhere. Para ello, debe utilizarse la asignaci\u00f3n de atributos de certificado.<\/p>\n
<\/a>Perspectiva del actor de amenazas<\/h2>\n
<\/a>Escenario n.\u00ba\u00a01: uso de certificados y claves privadas v\u00e1lidos por parte del atacante<\/h3>\n
Como se ha indicado anteriormente, los siguientes datos son necesarios para autenticarse utilizando Roles Anywhere:<\/p>\n
- \n
- El certificado de cliente<\/li>\n
- La clave privada del certificado de cliente<\/li>\n
- El ARN del ancla de confianza que firm\u00f3 el certificado<\/li>\n
- El ARN de un perfil en la misma regi\u00f3n<\/li>\n
- El ARN de un rol de IAM que se adjunta al perfil<\/li>\n<\/ul>\n
En el siguiente escenario, un atacante compromete una configuraci\u00f3n predeterminada de Roles Anywhere para un certificado de cliente que se utiliza para la autenticaci\u00f3n con su clave privada. A fin de aprovechar maliciosamente la configuraci\u00f3n predeterminada para acceder a roles adicionales en la cuenta, el atacante a\u00fan necesita descubrir los ARN de los recursos relevantes para autenticarse en AWS. La obtenci\u00f3n de los ARN no es una tarea sencilla y requiere privilegios independientes adicionales dentro de la cuenta.<\/p>\n
Se pueden utilizar las siguientes t\u00e9cnicas para obtener esta informaci\u00f3n:<\/p>\n
- \n
- Uso de las acciones de Roles Anywhere: <\/strong>Un atacante que haya obtenido suficientes permisos para el servicio de Roles Anywhere puede simplemente ejecutar acciones para obtener los ARN relevantes. Puede hacerlo utilizando las acciones list-trust-anchors<\/span> y list-profiles<\/span>, que requieren los permisos rolesanywhere:ListTrustAnchors<\/span> y rolesanywhere:ListProfiles<\/span>, respectivamente. El resultado de estas acciones contiene todos los ARN necesarios para la solicitud de autenticaci\u00f3n, ya que el comando list-profiles<\/span> devolver\u00e1 todos los roles que est\u00e1n adjuntos al perfil.<\/li>\n
- Recuperar datos de los registros<\/strong>: CloudTrail<\/a> es el principal mecanismo de registro de AWS. Entre los registros de CloudTrail, un atacante con acceso independiente a los registros de CloudTrail (o a los servicios de almacenamiento que los contienen) podr\u00eda localizar elementos creados por el servicio de Roles Anywhere. Algunos registros de CloudTrail contienen todos los ARN necesarios para el proceso de autenticaci\u00f3n. Los registros del servicio de Roles Anywhere revelan estos ARN en los eventos de varias acciones.<\/li>\n<\/ul>\n
El registro m\u00e1s relevante es CreateSession<\/span>. Este registro se crea cuando se utiliza Roles Anywhere para la autenticaci\u00f3n, es decir, para crear credenciales temporales y enviarlas al usuario. En la Figura\u00a03, se muestra un ejemplo de una entrada del registro CreateSession<\/span> y se anota el ARN asociado.<\/p>\n
![\"Captura]()
Figura 4. Registro de CreateSession<\/span> de CloudTrail.<\/figcaption><\/figure>\n Los ARN de un ancla de confianza, un perfil y uno de sus roles adjuntos aparecen en este registro de eventos. Si el certificado del atacante fue firmado por el ancla de confianza que aparece en el registro, puede utilizarlo para realizar la autenticaci\u00f3n.<\/p>\n
En la Figura\u00a05, se muestra una ilustraci\u00f3n general de los pasos de los atacantes.<\/p>\n
![\"Diagrama]()
Figura 5. Vista general de los pasos de los atacantes.<\/figcaption><\/figure>\n <\/a>Escenario n.\u00ba\u00a02: explotaci\u00f3n de los permisos directos a Roles Anywhere<\/h3>\n
Otro escenario en el que se podr\u00eda explotar una configuraci\u00f3n predeterminada del servicio de Roles Anywhere es cuando un atacante obtiene acceso a una identidad que tiene permisos de Roles Anywhere. Estos permisos pueden concederse mediante una declaraci\u00f3n Allow<\/span> directa en el servicio o a trav\u00e9s del elemento NotAction<\/span>.<\/p>\n
Los siguientes pasos pueden utilizarse para aprovechar estos permisos:<\/p>\n
- \n
- El atacante obtiene acceso a una identidad que tiene configuraciones y permisos predeterminados de Roles Anywhere.<\/li>\n
- El atacante crea dos certificados: un certificado de CA y un certificado de cliente; y luego utiliza el certificado de CA para firmar el certificado de cliente. Al haber creado los certificados, el atacante tambi\u00e9n posee sus claves privadas.<\/li>\n
- El atacante utiliza la identidad comprometida para crear un ancla de confianza y adjunta el certificado de CA al ancla.<\/li>\n
- Utilizando permisos de list<\/span> de Roles Anywhere, el atacante recopila perfiles y ARN de roles de IAM.<\/li>\n
- Utilizando los ARN, el certificado de cliente y su clave privada, el atacante se autentica utilizando Roles Anywhere.<\/li>\n
- Si la pol\u00edtica de confianza del rol de IAM deniega el acceso, el atacante puede comprobar los temas de Roles Anywhere para encontrar detalles sobre un certificado que se utiliz\u00f3 anteriormente para la autenticaci\u00f3n y copiar los campos en un nuevo certificado de cliente.<\/li>\n<\/ul>\n
En m\u00e1s detalle, un atacante con suficientes permisos de Roles Anywhere puede crear un certificado, firmarlo con el propio certificado de CA del atacante y subirlo a un ancla de confianza nuevo o existente. Esto requiere los permisos rolesanywhere:CreateTrustAnchor<\/span> o rolesanywhere:UpdateTrustAnchor<\/span>.<\/p>\n
Dado que el atacante controla tanto el certificado de cliente como el certificado de CA, el certificado ser\u00e1 v\u00e1lido. El siguiente paso es saber qu\u00e9 perfiles y roles est\u00e1n disponibles utilizando el comando list-profiles<\/span> de Roles Anywhere o cualquier otra t\u00e9cnica mencionada anteriormente.<\/p>\n
Con esta informaci\u00f3n, el atacante puede crear credenciales a trav\u00e9s de Roles Anywhere y realizar operaciones en el contexto del rol que se utiliz\u00f3.<\/p>\n
Si las medidas de seguridad de la organizaci\u00f3n objetivo no detectan la actividad maliciosa, este proceso tambi\u00e9n act\u00faa como un vector de persistencia para el atacante, ya que se puede utilizar un ancla de confianza para generar credenciales v\u00e1lidas hasta que se resuelva el problema.<\/p>\n
<\/a>Mitigaciones y recomendaciones<\/h2>\n
- \n
- Recomendamos encarecidamente a\u00f1adir condiciones a la pol\u00edtica de confianza predeterminada de los roles que se utilizan con Roles Anywhere.<\/strong> Como se mencion\u00f3 anteriormente, la pol\u00edtica predeterminada permite que cualquier ancla de confianza asuma el rol. Es esencial limitar el acceso al rol solo desde un ancla de confianza espec\u00edfico: el que se utiliza para autenticar la carga de trabajo relevante.<\/li>\n<\/ul>\n
\"Condition\": {\r\n\r\n\"ArnEquals\": {\r\n\r\n\"aws:SourceArn\": [\r\n\r\n\"arn:aws:rolesanywhere:region:account:trust-anchor\/TA_ID\"\r\n\r\n]\r\n\r\n}\r\n\r\n}<\/pre>\nTambi\u00e9n deben aplicarse condiciones adicionales para limitar el acceso solo a los certificados con determinados atributos, como el nombre com\u00fan o la organizaci\u00f3n. Sin embargo, estas condiciones no son una soluci\u00f3n m\u00e1gica y pueden obviarse en determinadas circunstancias. Por ejemplo, ser\u00eda posible un desv\u00edo si un atacante fuera capaz de extraer informaci\u00f3n de atributos del certificado.<\/p>\n
- \n
- Recomendamos utilizar anclas de confianza del tipo ACM-PCA.<\/strong> Cuando se utiliza ACM-PCA, ni siquiera un atacante que obtenga acceso completo al servicio de Roles Anywhere podr\u00e1 cargar su propio certificado de CA generado en el ancla de confianza. El tipo de ancla de confianza no se puede cambiar, lo que significa que se necesitan permisos ACM-PCA (que no son comunes) para autenticarse.\n
- \n
- Este es un punto fundamental. Si los roles que deben asumir las anclas de confianza utilizan la condici\u00f3n de la soluci\u00f3n anterior, no se podr\u00e1 acceder a ellos. Debemos tener en cuenta que las CA privadas en AWS tienen sus propias consideraciones de seguridad y tambi\u00e9n pueden suponer un riesgo si no se configuran correctamente<\/li>\n<\/ul>\n<\/li>\n
- Los permisos deben asignarse siempre seg\u00fan el principio del menor privilegio.<\/strong> La capacidad de autenticarse con Roles Anywhere suele otorgarse a identidades no humanas, y los dispositivos que utilizan este servicio suelen tener tareas espec\u00edficas y predeterminadas que deben realizar. Por lo tanto, el nivel de acceso de estas identidades no debe exceder los requisitos de las tareas que se les asignen. Aparte de los propios roles de IAM, es posible asociar una pol\u00edtica de sesi\u00f3n a un perfil. Esta pol\u00edtica define los permisos m\u00e1ximos que puede tener el rol cuando se asume a trav\u00e9s de Roles Anywhere.<\/li>\n
- Supervise y realice un seguimiento peri\u00f3dico de los recursos de IAM Roles Anywhere de AWS<\/strong>: es crucial mantener una supervisi\u00f3n continua de las anclas de confianza, los perfiles y los recursos asociados. Las anclas y los perfiles de confianza no se crean con frecuencia, lo que hace que su creaci\u00f3n o modificaci\u00f3n sean eventos sospechosos. Cualquier cambio inesperado en estos recursos debe investigarse inmediatamente para asegurarse de que no se est\u00e9 realizando ninguna actividad no autorizada. Las auditor\u00edas peri\u00f3dicas y las alertas automatizadas pueden ayudar a detectar y responder a tiempo a posibles amenazas para la seguridad.<\/li>\n
- Ejecute la siguiente consulta\u00a0XQL en Cortex Query Builder para identificar los roles que conf\u00edan en el servicio de Roles Anywhere, pero que no aplican ninguna condici\u00f3n.<\/li>\n<\/ul>\n
dataset = asset_inventory\r\n\r\n| filter xdm.asset.type.id = \"AWS_IAM_ROLE\" and xdm.asset.raw_fields != null\r\n\r\n| fields xdm.asset.id as asset_id, xdm.asset.raw_fields\r\n\r\n| alter statements = json_extract_array(xdm.asset.raw_fields, \"$['Platform Discovery'].Role.AssumeRolePolicyDocument.Statement\")\r\n\r\n| arrayexpand statements\r\n\r\n| alter principal = json_extract(statements ,\"$.Principal\")\r\n\r\n| alter condition = json_extract(statements, \"$.Condition\")\r\n\r\n| alter service1 = json_extract_scalar(principal ,\"$.Service\")\r\n\r\n| alter service1_array = if(service1 != null, arraycreate(service1), arraycreate(\"null\"))\r\n\r\n| alter serviceA = json_extract_scalar_array(principal ,\"$.Service\")\r\n\r\n| alter service = if(service1 != null, service1_array ,serviceA)\r\n\r\n| arrayexpand service\r\n\r\n| filter service = \"rolesanywhere.amazonaws.com\"\r\n\r\n| fields asset_id, service, condition, principal, statements, xdm.asset.raw_fields\r\n\r\n| alter is_condition_empty = if(condition != null, false, true)\r\n\r\n| filter is_condition_empty = true<\/pre>\n
Conclusi\u00f3n<\/strong><\/h2>\n
En este art\u00edculo, se han explorado los riesgos clave asociados con el uso de configuraciones predeterminadas para el servicio de Roles Anywhere de AWS, tanto desde la perspectiva de un posible atacante como desde la perspectiva de un defensor. Hemos proporcionado varias estrategias de mitigaci\u00f3n que las organizaciones deber\u00edan implementar para gestionar mejor los riesgos asociados. Esperamos que este an\u00e1lisis ayude a los lectores a comprender mejor las vulnerabilidades potenciales que implica el uso de la funcionalidad por defecto de este servicio, y la mejor manera de mitigarlas.<\/p>\n
Una de las principales conclusiones de este art\u00edculo es que, cuando se utilizan servicios de proveedores en la nube, es fundamental comprender a fondo las configuraciones y la arquitectura, en lugar de confiar en ellos sin sentido cr\u00edtico.<\/p>\n
- \n
- Siga las pr\u00e1cticas recomendadas de seguridad, los privilegios m\u00ednimos y las estrategias de defensa en profundidad.<\/li>\n
- Esto ayuda a garantizar que los servicios est\u00e9n correctamente dise\u00f1ados y supervisados para detectar modificaciones en la configuraci\u00f3n.<\/li>\n
- Mantener la supervisi\u00f3n en tiempo de ejecuci\u00f3n ayudar\u00e1 a garantizar que las plataformas en la nube personalizadas funcionen de forma segura.<\/li>\n<\/ul>\n
Cortex Cloud<\/a> proporciona protecciones contra los errores de configuraci\u00f3n de la infraestructura de clave p\u00fablica (PKI) detallados en este art\u00edculo. Mediante el uso de reglas basadas en el agente de Cloud\u00a0XDR y reglas anal\u00edticas de comportamiento para detectar cuando se est\u00e1n usando mal las pol\u00edticas de IAM, Cortex Cloud es capaz de detectar y prevenir operaciones maliciosas que usan sus capacidades de automatizaci\u00f3n de la plataforma\u00a0XSOAR.<\/p>\n
Las organizaciones pueden obtener ayuda para evaluar la postura de seguridad en la nube a trav\u00e9s de la Evaluaci\u00f3n de seguridad en la nube de Unit\u00a042<\/a>.<\/p>\n
Si cree que su seguridad puede haber sido comprometida o si tiene un asunto urgente, p\u00f3ngase en contacto con el equipo de respuesta a incidentes de Unit\u00a042<\/a> o llame a los siguientes n\u00fameros:<\/p>\n
- \n
- Am\u00e9rica del Norte: Llamada gratuita: +1 (866) 486-4842 (866.4.UNIT42)<\/li>\n
- REINO UNIDO: +44.20.3743.3660<\/li>\n
- Europa y Oriente Medio: +31.20.299.3130<\/li>\n
- Asia: +65.6983.8730<\/li>\n
- Jap\u00f3n: +81.50.1790.0200<\/li>\n
- Australia: +61.2.4062.7950<\/li>\n
- India: 00080005045107<\/li>\n<\/ul>\n
Palo Alto Networks comparti\u00f3 estos resultados con nuestros compa\u00f1eros de Cyber Threat Alliance (CTA). Los miembros de CTA utilizan esta inteligencia para implementar r\u00e1pidamente protecciones para sus clientes y desbaratar sistem\u00e1ticamente a los ciberactores malintencionados. Obtenga m\u00e1s informaci\u00f3n sobre Cyber Threat Alliance<\/a>.<\/p>\n
<\/a>Recursos adicionales<\/h2>\n
- \n
- What Is the Principle of Least Privilege<\/a> (Qu\u00e9 es el principio de m\u00ednimo privilegio), Palo Alto Networks<\/li>\n
- The IAM Roles Anywhere trust model (El modelo de confianza de IAM Roles Anywhere):<\/a> documentaci\u00f3n oficial de Amazon Web Services<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"
Este an\u00e1lisis del servicio Roles Anywhere de Amazon Web Services (AWS) examina los riesgos potenciales analizados tanto desde el punto de vista del defensor como del atacante. <\/p>\n","protected":false},"author":366,"featured_media":142577,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[8838,8730],"tags":[9291,9292],"product_categories":[8932,8933,8936,8890],"coauthors":[8916],"class_list":["post-145348","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-threat-research-es-la","category-cloud-cybersecurity-research-es-la","tag-aws-es-la","tag-kubernetes-es-la","product_categories-cortex-es-la","product_categories-cortex-cloud-es-la","product_categories-cortex-xsoar-es-la","product_categories-unit-42-incident-response-es-la"],"yoast_head":"\n
\u00bfRoles aqu\u00ed? \u00bfRoles all\u00ed? \u00a1Roles en todas partes! Explorando la seguridad de AWS IAM Roles Anywhere<\/title>\n<meta name=\"description\" content=\"Este an\u00e1lisis del servicio Roles Anywhere de Amazon Web Services (AWS) examina los riesgos potenciales analizados tanto desde el punto de vista del defensor como del atacante. Este an\u00e1lisis del servicio Roles Anywhere de Amazon Web Services (AWS) examina los riesgos potenciales analizados tanto desde el punto de vista del defensor como del atacante.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/aws-roles-anywhere\/\" \/>\n<meta property=\"og:locale\" content=\"es_LA\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"\u00bfRoles aqu\u00ed? \u00bfRoles all\u00ed? \u00a1Roles en todas partes! Explorando la seguridad de AWS IAM Roles Anywhere\" \/>\n<meta property=\"og:description\" content=\"Este an\u00e1lisis del servicio Roles Anywhere de Amazon Web Services (AWS) examina los riesgos potenciales analizados tanto desde el punto de vista del defensor como del atacante. Este an\u00e1lisis del servicio Roles Anywhere de Amazon Web Services (AWS) examina los riesgos potenciales analizados tanto desde el punto de vista del defensor como del atacante.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/aws-roles-anywhere\/\" \/>\n<meta property=\"og:site_name\" content=\"Unit 42\" \/>\n<meta property=\"article:published_time\" content=\"2025-06-09T15:41:47+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2025-07-07T15:48:14+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/06\/01_Cloud_cybersecurity_research_Overview_1920x900.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"1920\" \/>\n\t<meta property=\"og:image:height\" content=\"900\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Itay Saraf\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"\u00bfRoles aqu\u00ed? \u00bfRoles all\u00ed? \u00a1Roles en todas partes! Explorando la seguridad de AWS IAM Roles Anywhere","description":"Este an\u00e1lisis del servicio Roles Anywhere de Amazon Web Services (AWS) examina los riesgos potenciales analizados tanto desde el punto de vista del defensor como del atacante. Este an\u00e1lisis del servicio Roles Anywhere de Amazon Web Services (AWS) examina los riesgos potenciales analizados tanto desde el punto de vista del defensor como del atacante.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/unit42.paloaltonetworks.com\/es-la\/aws-roles-anywhere\/","og_locale":"es_LA","og_type":"article","og_title":"\u00bfRoles aqu\u00ed? \u00bfRoles all\u00ed? \u00a1Roles en todas partes! Explorando la seguridad de AWS IAM Roles Anywhere","og_description":"Este an\u00e1lisis del servicio Roles Anywhere de Amazon Web Services (AWS) examina los riesgos potenciales analizados tanto desde el punto de vista del defensor como del atacante. Este an\u00e1lisis del servicio Roles Anywhere de Amazon Web Services (AWS) examina los riesgos potenciales analizados tanto desde el punto de vista del defensor como del atacante.","og_url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/aws-roles-anywhere\/","og_site_name":"Unit 42","article_published_time":"2025-06-09T15:41:47+00:00","article_modified_time":"2025-07-07T15:48:14+00:00","og_image":[{"width":1920,"height":900,"url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/06\/01_Cloud_cybersecurity_research_Overview_1920x900.jpg","type":"image\/jpeg"}],"author":"Itay Saraf","twitter_card":"summary_large_image","schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/aws-roles-anywhere\/#article","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/aws-roles-anywhere\/"},"author":{"name":"Sheida Azimi","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639"},"headline":"\u00bfRoles aqu\u00ed? \u00bfRoles all\u00ed? \u00a1Roles en todas partes! Explorando la seguridad de AWS IAM Roles Anywhere","datePublished":"2025-06-09T15:41:47+00:00","dateModified":"2025-07-07T15:48:14+00:00","mainEntityOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/aws-roles-anywhere\/"},"wordCount":3552,"commentCount":0,"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/aws-roles-anywhere\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/06\/01_Cloud_cybersecurity_research_Overview_1920x900.jpg","keywords":["AWS","Kubernetes"],"articleSection":["Investigaci\u00f3n de amenazas","Investigaci\u00f3n de ciberseguridad en la nube"],"inLanguage":"es","potentialAction":[{"@type":"CommentAction","name":"Comment","target":["https:\/\/unit42.paloaltonetworks.com\/es-la\/aws-roles-anywhere\/#respond"]}]},{"@type":"WebPage","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/aws-roles-anywhere\/","url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/aws-roles-anywhere\/","name":"\u00bfRoles aqu\u00ed? \u00bfRoles all\u00ed? \u00a1Roles en todas partes! Explorando la seguridad de AWS IAM Roles Anywhere","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#website"},"primaryImageOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/aws-roles-anywhere\/#primaryimage"},"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/aws-roles-anywhere\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/06\/01_Cloud_cybersecurity_research_Overview_1920x900.jpg","datePublished":"2025-06-09T15:41:47+00:00","dateModified":"2025-07-07T15:48:14+00:00","author":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639"},"description":"Este an\u00e1lisis del servicio Roles Anywhere de Amazon Web Services (AWS) examina los riesgos potenciales analizados tanto desde el punto de vista del defensor como del atacante. Este an\u00e1lisis del servicio Roles Anywhere de Amazon Web Services (AWS) examina los riesgos potenciales analizados tanto desde el punto de vista del defensor como del atacante.","breadcrumb":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/aws-roles-anywhere\/#breadcrumb"},"inLanguage":"es","potentialAction":[{"@type":"ReadAction","target":["https:\/\/unit42.paloaltonetworks.com\/es-la\/aws-roles-anywhere\/"]}]},{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/aws-roles-anywhere\/#primaryimage","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/06\/01_Cloud_cybersecurity_research_Overview_1920x900.jpg","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/06\/01_Cloud_cybersecurity_research_Overview_1920x900.jpg","width":1920,"height":900,"caption":"Pictorial representation of AWS Roles Anywhere. Futuristic cityscape with glowing orange and blue structures, elevated clouds, and illuminated, scattered points representing lights or data points."},{"@type":"BreadcrumbList","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/aws-roles-anywhere\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/unit42.paloaltonetworks.com\/"},{"@type":"ListItem","position":2,"name":"\u00bfRoles aqu\u00ed? \u00bfRoles all\u00ed? \u00a1Roles en todas partes! Explorando la seguridad de AWS IAM Roles Anywhere"}]},{"@type":"WebSite","@id":"https:\/\/unit42.paloaltonetworks.com\/#website","url":"https:\/\/unit42.paloaltonetworks.com\/","name":"Unit 42","description":"Palo Alto Networks","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/unit42.paloaltonetworks.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"es"},{"@type":"Person","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639","name":"Sheida Azimi","image":{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/image\/4ffb3c2d260a0150fb91b3715442f8b3","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","caption":"Sheida Azimi"},"url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/author\/sheida-azimi\/"}]}},"_links":{"self":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/145348","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/users\/366"}],"replies":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/comments?post=145348"}],"version-history":[{"count":2,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/145348\/revisions"}],"predecessor-version":[{"id":145427,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/145348\/revisions\/145427"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/media\/142577"}],"wp:attachment":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/media?parent=145348"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/categories?post=145348"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/tags?post=145348"},{"taxonomy":"product_categories","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/product_categories?post=145348"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/coauthors?post=145348"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}} - The IAM Roles Anywhere trust model (El modelo de confianza de IAM Roles Anywhere):<\/a> documentaci\u00f3n oficial de Amazon Web Services<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"
- What Is the Principle of Least Privilege<\/a> (Qu\u00e9 es el principio de m\u00ednimo privilegio), Palo Alto Networks<\/li>\n
- Supervise y realice un seguimiento peri\u00f3dico de los recursos de IAM Roles Anywhere de AWS<\/strong>: es crucial mantener una supervisi\u00f3n continua de las anclas de confianza, los perfiles y los recursos asociados. Las anclas y los perfiles de confianza no se crean con frecuencia, lo que hace que su creaci\u00f3n o modificaci\u00f3n sean eventos sospechosos. Cualquier cambio inesperado en estos recursos debe investigarse inmediatamente para asegurarse de que no se est\u00e9 realizando ninguna actividad no autorizada. Las auditor\u00edas peri\u00f3dicas y las alertas automatizadas pueden ayudar a detectar y responder a tiempo a posibles amenazas para la seguridad.<\/li>\n
- Recomendamos utilizar anclas de confianza del tipo ACM-PCA.<\/strong> Cuando se utiliza ACM-PCA, ni siquiera un atacante que obtenga acceso completo al servicio de Roles Anywhere podr\u00e1 cargar su propio certificado de CA generado en el ancla de confianza. El tipo de ancla de confianza no se puede cambiar, lo que significa que se necesitan permisos ACM-PCA (que no son comunes) para autenticarse.\n
- Recuperar datos de los registros<\/strong>: CloudTrail<\/a> es el principal mecanismo de registro de AWS. Entre los registros de CloudTrail, un atacante con acceso independiente a los registros de CloudTrail (o a los servicios de almacenamiento que los contienen) podr\u00eda localizar elementos creados por el servicio de Roles Anywhere. Algunos registros de CloudTrail contienen todos los ARN necesarios para el proceso de autenticaci\u00f3n. Los registros del servicio de Roles Anywhere revelan estos ARN en los eventos de varias acciones.<\/li>\n<\/ul>\n
- Uso de las acciones de Roles Anywhere: <\/strong>Un atacante que haya obtenido suficientes permisos para el servicio de Roles Anywhere puede simplemente ejecutar acciones para obtener los ARN relevantes. Puede hacerlo utilizando las acciones list-trust-anchors<\/span> y list-profiles<\/span>, que requieren los permisos rolesanywhere:ListTrustAnchors<\/span> y rolesanywhere:ListProfiles<\/span>, respectivamente. El resultado de estas acciones contiene todos los ARN necesarios para la solicitud de autenticaci\u00f3n, ya que el comando list-profiles<\/span> devolver\u00e1 todos los roles que est\u00e1n adjuntos al perfil.<\/li>\n
- Una vez obtenida toda la informaci\u00f3n necesaria, el atacante puede formular peticiones para obtener credenciales de diferentes roles y utilizar sus permisos para realizar operaciones maliciosas.<\/li>\n<\/ul>\n
- El atacante deduce los ARN de otro rol de IAM que est\u00e1 adjunto al mismo perfil o los ARN y los roles adjuntos de otro perfil. Deducir estos ARN es una tarea compleja que requiere permisos adicionales en el entorno de AWS. Analizamos estas t\u00e9cnicas m\u00e1sadelante en este art\u00edculo<\/a>.<\/li>\n
- Certificado Bundle<\/strong>: un certificado\u00a0X.509 codificado en formato\u00a0ASCII de correo de privacidad mejorada (PEM) que se adjunta directamente al ancla de confianza.<\/li>\n<\/ul>\n<\/li>\n
![\"Diagrama](\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/ES-la_Roles-anywhere-diagrams-786x278.png\")
![\"Captura](\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-120865-145348-2.png\")
![\"Notificaci\u00f3n](\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-123792-145348-3.png\")
![\"Captura](\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-126551-145348-4.png\")
![\"Diagrama](\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/ES-la-Roles-anywhere-blog-diagram-604x440.png\")