据我所知,Access Key ID 就像用户名,没有 Access Key Secret 就没用?
即使关联用户拥有完整的 S3 权限?
除了 0day aws 漏洞之外,是否还有其他方法可以在不掌握秘密的情况下管理/删除所有内容?
你是对的。对 AWS 进行 API 调用时,身份验证过程需要:
AKIAIOSFODNN7ABCDEFG
的标识符。如果其他人看到也没关系。它连接到您的 AWS 账户,并且通常与 IAM 用户相关联。您需要这两者才能在您的 AWS 账户中发出 API 请求。
相比之下,登录 AWS 管理控制台需要:
如果用户成功通过 AWS 管理控制台的身份验证,则他们可以在 AWS 账户中执行操作。
在这两种情况(API 调用和控制台)中,他们在 AWS 账户中创建/修改/删除资源的能力取决于分配给其访问凭证的权限。默认情况下,用户没有权限,因此删除 Amazon S3 存储桶需要 IAM 管理员向用户分配权限才能执行此操作,或者需要将存储桶策略添加到 Amazon S3 存储桶以授予此类权限。