Назад | Перейти на главную страницу

Сбой переключения роли в Windows10 с исходным IP-адресом AWS

Когда пользователь в Windows 10 пытается сменить роли в AWS, это не удается.

Неудачная аутентификация

У нас есть Condition в нашем sts:AssumeRole политика, позволяющая переключаться только в том случае, если пользователь приходит с IP-адреса из белого списка. Эти адреса соответствуют нашим IP-адресам NAT. Пользователь гуглит «какой у меня IP», и он возвращает IP-адрес NAT, который мы ожидаем увидеть.

Примечательно, что IP-адрес в журналах CloudTrail не является нашим NAT-IP. Он принадлежит AWS.

Мы пробовали это в Chrome и Firefox с тем же результатом. Я ожидаю, что пользователь без проблем меняет роли.

Эта проблема не возникает при использовании Windows7 или MacOS.

Мысли?

Этот адрес 76.223.160.183 является не AWS адрес. Он не отображается ни в одном рекламируемом диапазоне AWS ни в одном регионе. Проверено фильтр-ip-диапазоны.

Хотя блок IP принадлежит Amazon, 76.223.160.0/21 был делегирован Netskope Inc, Проверьте свои вывод whois очередной раз. Из Статья в Википедии о Netskope:

Netskope [...] помогает компаниям защитить данные и от угроз в облачных приложениях, облачной инфраструктуре и Интернете. [...] Решение направляет облачный и веб-трафик в облачную службу для целей проверки и применения политик.

Итак, я пришел к выводу, что Windows 10 На ноутбуке установлена ​​какая-то служба или плагин Netskope, который перенаправляет некоторый трафик на серверы Netskope для проверки. Оттуда он пересылается в AWS, но, поскольку он поступает из диапазона IP Netskope, он не соответствует вашему условию IAM.

Кстати, почему это не мешает тому, "какой у меня IP", я не уверен, возможно, какой-то белый список в плагине.

Надеюсь, это поможет :)