安全

AWS 账户 ID 12 位数字背后的结构 - 为什么是 12 位,能读取哪些信息

从趣味知识角度解析 AWS 账户 ID 为何是 12 位数字、ARN 结构中蕴含的设计意图,以及从账户 ID 可推测的信息和安全注意事项。

約 2 分で読めます

为什么是 12 位数字

AWS 账户 ID 是一个 12 位数字(例如:123456789012)。这个位数是为了确保 AWS 在未来能够发放足够数量的账户而设计的。12 位数字拥有 10^12 = 1 万亿种组合。截至 2024 年,AWS 的活跃账户数量虽未公开,但估计在数千万到数亿之间。拥有 1 万亿的空间,即使按照当前的增长速度,也足以使用数百年而不会耗尽。账户 ID 仅由数字组成的原因在于兼容性和可读性。纯数字可以在任何系统和编程语言中无障碍处理,在电话口头传达时也不易产生误解。但需要注意的是,存在以零开头的账户 ID(例如:012345678901),因此在程序中处理账户 ID 时必须使用字符串类型。如果使用整数类型,前导零会丢失,变成 11 位数字。这个陷阱是刚开始使用 AWS 的开发者最容易踩到的 Bug 之一。

ARN 的结构 - AWS 资源的地址体系

AWS 的所有资源都通过 ARN(Amazon Resource Name)进行唯一标识。ARN 的格式为 arn:partition:service:region:account-id:resource-type/resource-id。这个结构反映了 AWS 的架构设计。partition 在大多数情况下为 aws,但中国区域为 aws-cn,GovCloud 为 aws-us-gov,它们是分离的。这表明中国和 GovCloud 运行在与其他区域完全独立的基础设施上。service 是服务名称(s3、ec2、lambda 等),region 是区域代码(ap-northeast-1 等)。对于全球服务(IAMRoute 53CloudFront 等),region 为空。account-id 是 12 位账户 ID,用于标识资源的所有者。S3 存储桶的 ARN(arn:aws:s3:::my-bucket)不包含账户 ID。这是因为 S3 存储桶名称是全局唯一的,无需账户 ID 即可标识资源。这一设计是在 S3 早期确定的,后续推出的服务都会包含账户 ID。

账户 ID 是否属于机密信息

AWS 账户 ID 严格来说不是机密信息,但也不应不必要地公开。仅知道账户 ID 本身并不能访问该账户的资源。访问需要 IAM 认证凭证(访问密钥或角色的 AssumeRole)。然而,账户 ID 被知晓后会产生一些风险。第一,可能成为社会工程攻击的素材。由于向 AWS 支持提交工单时账户 ID 被用作身份验证的一部分,攻击者知道账户 ID 后冒充成功的概率会提高。第二,存在利用资源策略配置错误的风险。如果 S3 存储桶策略中 Principal 指定了账户 ID,攻击者知道该账户 ID 后可以从自己的账户尝试 AssumeRole。第三,存在利用 AMI 或快照共享配置错误的风险。如果 AMI 设置为共享给特定账户 ID,该账户 ID 泄露后可能导致意外共享给非预期的账户。

账户 ID 无意间泄露的途径

账户 ID 有时会在开发者不知情的情况下泄露到外部。最常见的途径是 IAM 角色或用户的 ARN 包含在日志或错误消息中。将 CloudTrail 日志发送到外部日志分析服务时,日志中的账户 ID 会原样发送。在推送到 GitHub 的 CloudFormation 模板或 Terraform 代码中硬编码账户 ID 的情况也很常见。虽然从 S3 存储桶的 URL(https://my-bucket.s3.amazonaws.com)无法直接获知账户 ID,但存储桶策略的错误消息中可能包含账户 ID。由于也可以从 EC2 的元数据服务(http://169.254.169.254/latest/meta-data/identity-credentials/ec2/info)获取账户 ID,因此存在 SSRF(Server-Side Request Forgery)漏洞时账户 ID 可能泄露。通过强制使用 IMDSv2(Instance Metadata Service Version 2),可以防止通过 SSRF 获取元数据。

多账户策略与账户 ID 管理

在现代 AWS 运维中,一个组织拥有数十到数百个账户的多账户策略已成为标准。使用 AWS Organizations 可以在组织根账户下创建 OU(Organizational Unit),对账户进行层级化管理。每个账户被分配唯一的 12 位 ID,账户间的资源共享通过 RAM(Resource Access Manager)或资源策略进行控制。在多账户策略中,账户 ID 的管理成为运维课题。当拥有数百个账户时,很难掌握哪个账户 ID 对应哪个环境(生产、预发布、开发)。建议使用 AWS Organizations 的标签功能为账户添加元数据,并维护账户 ID 与账户名称的对应表。使用 Control Tower 可以在创建账户时自动添加标签并应用护栏(SCP),提供标准化的工作流程。如需系统学习 AWS 的账户管理和安全设计,专业书籍 (Amazon) 是很好的参考。

相关服务

AWS IAM安全管理 AWS 资源访问权限的身份认证与授权服务AWS Organizations集中管理多个 AWS 账户的服务

相关文章

身份与访问管理设计 - 通过 IAM 实现零信任安全解析利用 AWS IAM 的访问管理设计方法,介绍最小权限原则、策略设计、与 Cognito 联动实现零信任安全的方法。AWS 多账户治理的设计能力 - Organizations、Control Tower、SCP 实现的组织治理解析以 AWS Organizations、Control Tower、SCP(Service Control Policies)为核心的多账户治理机制,与 Azure Management Groups 进行比较,阐述企业治理设计能力的差异。使用 AWS Organizations 实现多账户管理 - OU 设计与 SCP 治理通过 OU 层级设计和 SCP 访问控制建立多账户环境的治理。同时介绍统一计费的成本管理。

本主题的更多内容

使用 IAM Access Analyzer 检测过度访问权限 - 外部访问与未使用权限分析基于 CloudTrail 检测 IAM 角色的未使用权限,并自动生成最小权限策略。本文涵盖外部访问检测以及将自定义策略检查集成到 CI/CD 流水线的完整流程。使用 AWS Certificate Manager 自动化 SSL/TLS 证书管理 - 从签发到轮换详解 ACM 免费签发公共证书、DNS 验证、自动续期,以及部署到 ALB 和 CloudFront 的完整流程。使用 AWS Artifact 获取合规报告 - 审计应对与合同管理按需获取 SOC、PCI DSS、ISO 审计报告,并将 BAA 和 GDPR DPA 一键应用到整个 Organizations 的操作步骤。审计自动化 - 使用 AWS Audit Manager 持续收集合规证据详解使用 AWS Audit Manager 自动收集审计证据。介绍基于框架(SOC 2、PCI DSS、GDPR 等)的自动评估、证据统一管理和审计报告生成。AWS 账户根用户为何如此危险 - 权限分离的设计思想与封印实践解析 AWS 根用户拥有 IAM 无法限制的特权的原因,列举仅根用户可执行的操作,介绍 MFA 设置方法以及通过 Organizations 根访问管理实现的封印策略。证书管理与 HTTPS 化 - 使用 AWS Certificate Manager 自动运维 TLS 证书介绍使用 AWS Certificate Manager(ACM)进行 TLS/SSL 证书的签发、自动续期和部署。包括与 CloudFront、ALB、API Gateway 的集成、DNS 验证以及 Private CA 的应用。通过 AWS CloudHSM 实现专用密钥管理 - 符合 FIPS 140-2 Level 3 的加密通过专有 HSM 实例实现符合 FIPS 140-2 Level 3 的密钥管理。介绍与 KMS 的区分使用以及通过 KMS 自定义密钥存储实现两者集成的方法。CloudTrail 看到一切 - API 调用记录机制与取证调查实践详细介绍 CloudTrail 记录 AWS API 调用的机制、管理事件与数据事件的区别、CloudTrail Lake 的 SQL 分析以及安全事件发生时的取证调查方法。

相似的文章与服务

使用 AWS Organizations 实现多账户管理 - OU 设计与 SCP 治理通过 OU 层级设计和 SCP 访问控制建立多账户环境的治理。同时介绍统一计费的成本管理。AWS Organizations将多个 AWS 账户作为组织统一管理,通过账单合并和服务控制策略实施治理的账户管理服务AWS 的 Availability Zone ID 为何因账户而异 - AZ 映射的设计意图解析 us-east-1a 在不同账户指向不同物理 AZ 的机制、AZ ID(use1-az1)引入的背景、容量均匀分散的设计意图,以及跨账户 AZ 指定的注意事项。使用 AWS Control Tower 构建多账户环境 - 着陆区与护栏通过着陆区的自动构建和护栏的策略应用,建立多账户环境的治理。介绍 Account Factory 的账户自动创建。