IAM:PassRole*

El permiso IAM:PassRole permite a un usuario pasar un rol a una entidad de AWS. La transferencia de roles es un elemento crucial en la administración de recursos y permisos de AWS. Por ejemplo, al implementar una aplicación en AWS, es posible que la aplicación deba realizar ciertas acciones en el back-end, como acceder a bases de datos o ejecutar funciones de Lambda. Para permitir que la aplicación acceda a estos servicios de AWS se le pasa un rol que contenga los permisos necesarios.

Los problemas con el permiso iam:PassRole ocurren cuando no hay un rol definido o un conjunto de roles que el principal puede pasar. Por ejemplo, el permiso configurado con el comodín asterisco (iam:PassRole:*). En efecto, esto permite al usuario pasar cualquier rol que exista en el entorno, incluidos los roles privilegiados existentes. Esto puede abrir la posibilidad de que un usuario pase un rol privilegiado a un recurso o servicio de AWS y luego use ese recurso o servicio para realizar acciones privilegiadas.

Todas las técnicas que abusan del permiso iam:PassRole requieren de un conocimiento sobre otros servicios de AWS, dichas tecnicas serán mencionadas en otras entradas de este blog.