Stratus Red Team 使用 aws-vault 时的 Terraform 应用问题解析

在使用 Stratus Red Team 进行 AWS 安全测试时，很多安全工程师会选择使用 aws-vault 来管理 AWS 凭证。然而，当尝试执行某些攻击技术（如 aws.credential-access.ec2-steal-instance-credentials）时，可能会遇到 Terraform 应用失败的问题，错误提示为 "InvalidClientTokenId: The security token included in the request is invalid"。

问题现象

当用户通过 aws-vault 执行 Stratus Red Team 命令时，虽然基本的 AWS CLI 命令（如 aws sts get-caller-identity）能够正常工作，但在执行 stratus detonate 命令时，Terraform 会在创建 IAM 角色阶段失败。错误信息表明 AWS 无法识别请求中包含的安全令牌。

根本原因

这个问题源于 aws-vault 的默认行为与 Terraform 的交互方式不兼容。aws-vault 默认会为每次执行创建临时会话凭证，而某些 AWS 操作（特别是涉及 IAM 的操作）对临时凭证有限制或特殊要求。

解决方案

解决这个问题的方法是在使用 aws-vault 时添加 --no-session 参数。这个参数告诉 aws-vault 不要创建临时会话，而是直接使用长期有效的 IAM 用户凭证。例如：

aws-vault exec yourprofile --no-session stratus detonate aws.credential-access.ec2-steal-instance-credentials

技术背景

1. aws-vault 的工作机制：aws-vault 默认会为每次执行创建新的临时会话凭证（STS token），这提高了安全性但可能导致某些 API 操作受限。

2. IAM 操作的特殊性：AWS 对 IAM 相关操作有额外的安全限制，某些操作（如创建 IAM 角色）不能使用临时凭证执行，或者需要额外的权限配置。

3. Terraform 的凭证处理：Terraform 在初始化时会缓存凭证，如果凭证在 Terraform 执行过程中发生变化（如临时凭证过期），就会导致操作失败。

最佳实践建议

1. 对于需要执行 IAM 相关操作的场景，优先使用 --no-session 参数
2. 确保使用的 IAM 用户具有足够的权限执行所有必要的操作
3. 在生产环境中，考虑使用 IAM 角色而不是长期凭证
4. 定期轮换凭证以提高安全性

通过理解这些底层原理，安全工程师可以更有效地使用 Stratus Red Team 进行云安全测试，同时保持高标准的凭证安全管理。