Instalar AWS CLI

sudo apt update
sudo apt install curl unzip

curl "https://awscli.amazonaws.com/awscli-exe-linux-x86_64.zip" -o "awscliv2.zip"

unzip awscliv2.zip

sudo ./aws/install

aws --version

AWS - Basic Information - HackTricks Cloud

Crear member accounts:

aws organizations create-account --account-name testingaccount --email testingaccount@lalala1233fr.com

Las OUs pueden tener otras OUs children:

# You can get the root id from aws organizations list-roots
aws organizations create-organizational-unit --parent-id r-lalala --name TestOU

SCP (Service Controll Policy) -> definen los permisos máximos para los usuarios y roles (las identidades):

Una SCP por sí sola no da acceso a nada. Para que un usuario pueda realizar una acción, necesita dos cosas:

• Una política de IAM (Identity and Access Management) que le permita (Allow) la acción.

• Una SCP (aplicada a su cuenta, a su Unidad Organizativa, o a la raíz) que no le deniegue (Deny) esa acción y, en caso de usar listas de permisos (allow-lists), que la permita explícitamente.

Las políticas se heredan hacia abajo. Si aplicas una SCP en una OU, afecta a todas las cuentas y OUs que estén dentro de ella.

RCP (Resource Control Policy) -> limitan el acceso a los recursos:

Su objetivo principal es ayudarte a restringir el acceso a tus recursos de AWS a gran escala, especialmente para evitar el acceso externo no deseado.

ARN (Amazon Resource Name)

arn:partition:service:region:account-id:resource-id

arn:partition:service:region:account-id:resource-type/resource-id

arn:partition:service:region:account-id:resource-type:resource-id

• arn: El prefijo literal que indica que es un Amazon Resource Name.

• partition: La partición donde se encuentra el recurso. Para la mayoría de los usuarios, esto es aws (para las regiones comerciales estándar). Otras particiones incluyen aws-cn (China) o aws-us-gov (GovCloud de EE. UU.).

• service: El servicio de AWS al que pertenece el recurso (p. ej., s3, ec2, iam, lambda).

• region: La región de AWS donde reside el recurso (p. ej., us-east-1, eu-west-1). Este campo puede estar vacío para recursos globales, como los usuarios de IAM o los buckets de S3.

• account-id: El ID de 12 dígitos de la cuenta de AWS propietaria del recurso (p. ej., 123456789012). Este campo también puede estar vacío en algunos casos, como para los buckets de S3, que son globalmente únicos.

• resource-id: La parte final que identifica el recurso específico. Esta parte es la que más varía. Puede ser simplemente el nombre del recurso, una ruta, o un ID asignado por el servicio.

Ejemplos de ARNs

Aquí puedes ver cómo cambia la estructura según el recurso:

• Usuario de IAM (sistema de seguridad) (global): arn:aws:iam::123456789012:user/JuanPerez (Nota: region está vacía porque IAM es un servicio global).

• Bucket de S3 (global): arn:aws:s3:::mi-bucket-unico (Nota: region y account-id están vacíos porque los nombres de los buckets son únicos a nivel mundial).

• Instancia EC2 (regional): arn:aws:ec2:us-east-1:123456789012:instance/i-0abcdef1234567890

• Función Lambda (servicio de cómputo sin servidor)(regional): arn:aws:lambda:eu-west-1:123456789012:function:mi-funcion

AWS account root user -> La identidad que te viene por defecto al crear la cuenta de AWS, es más seguro crear cuentas de admin que usar esta.

IAM (Identity and Access Management)

Piensa en tu cuenta de AWS como si fuera un edificio seguro. El usuario raíz (el que creaste con tu email al registrarte) es el dueño del edificio con la llave maestra universal. Un usuario IAM, en cambio, es como un empleado al que le das una tarjeta de acceso específica.

ECR ->Nombre de un servicio de registro de contenedores
Registry -> Depósito para las imágenes de los contenedores, puede ser público o privado. (aloja múltiples repositorios)
Repositories -> Estantería de imágenes dentro de un registro.

Direcciones mágicas (perfectas para SSRF)