AWS - Control Tower Enum

Tip

Aprende y practica AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Aprende y practica GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Aprende y practica Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Apoya a HackTricks

Control Tower

Note

En resumen, Control Tower es un servicio que permite definir políticas para todas tus cuentas dentro de tu organización. Así que en lugar de gestionar cada una de ellas, puedes establecer políticas desde Control Tower que se aplicarán a ellas.

AWS Control Tower es un servicio proporcionado por Amazon Web Services (AWS) que permite a las organizaciones configurar y gobernar un entorno seguro, conforme y de múltiples cuentas en AWS.

AWS Control Tower proporciona un conjunto predefinido de plantillas de mejores prácticas que se pueden personalizar para cumplir con requisitos organizacionales específicos. Estas plantillas incluyen servicios y características de AWS preconfigurados, como AWS Single Sign-On (SSO), AWS Config, AWS CloudTrail y AWS Service Catalog.

Con AWS Control Tower, los administradores pueden configurar rápidamente un entorno de múltiples cuentas que cumpla con los requisitos organizacionales, como seguridad y cumplimiento. El servicio proporciona un panel central para ver y gestionar cuentas y recursos, y también automatiza la provisión de cuentas, servicios y políticas.

Además, AWS Control Tower proporciona barandillas, que son un conjunto de políticas preconfiguradas que aseguran que el entorno permanezca conforme a los requisitos organizacionales. Estas políticas se pueden personalizar para satisfacer necesidades específicas.

En general, AWS Control Tower simplifica el proceso de configuración y gestión de un entorno seguro, conforme y de múltiples cuentas en AWS, facilitando a las organizaciones centrarse en sus objetivos comerciales principales.

Enumeration

Para enumerar los controles de controltower, primero necesitas haber enumerado la organización:

AWS - Organizations Enum

# Get controls applied in an account
aws controltower list-enabled-controls --target-identifier arn:aws:organizations::<acc_id>:ou/<ou-id>

Warning

Control Tower también puede usar Account factory para ejecutar CloudFormation templates en cuentas y ejecutar servicios (privesc, post-exploitation…) en esas cuentas

Post Explotación y Persistencia

AWS - Control Tower Post Exploitation

Tip

Aprende y practica AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Aprende y practica GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Aprende y practica Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Apoya a HackTricks