Exemple proxy de métadonnées AWS pour protéger contre les vecteurs d'attaque ciblant les informations d'identification AWS
Cloner le repo
git clone https://github.com/Netflix-Skunkworks/aws-metadata-proxy.git
cd aws-metadata-proxy
Construire le proxy
go get
go build Créez une règle iptable qui empêche de parler directement au service de métadonnées AWS, à l'exception d'un utilisateur particulier, proxy_user dans l'exemple ci-dessous. Il s'agit de l'utilisateur que vous exécutez le proxy comme sur votre serveur.
/sbin/iptables -t nat -A OUTPUT -m owner ! --uid-owner proxy_user -d 169.254.169.254 -p tcp -m tcp --dport 80 -j DNAT --to-destination 127.0.0.1:9090
