在CloudGoat中使用aws-vault管理AWS凭证的最佳实践

背景介绍

CloudGoat是Rhino Security Labs开发的一款针对AWS云环境的安全演练工具，它通过创建带有特定漏洞的云环境来帮助安全团队进行攻防演练。在实际使用过程中，如何安全地管理AWS凭证是一个关键问题。

aws-vault简介

aws-vault是一款专门为AWS IAM凭证管理设计的工具，它通过将凭证存储在操作系统安全的密钥库中（如macOS Keychain或Windows Credential Manager），并支持临时安全凭证的生成，有效降低了长期凭证泄露的风险。

集成方案

基础集成方法

最直接的集成方式是通过aws-vault的exec命令来运行CloudGoat：

aws-vault exec USERNAME -- ./cloudgoat.py create vulnerable_lambda

凭证传递问题

当遇到Terraform执行阶段报错"无有效凭证源"时，这是因为aws-vault默认不会将临时凭证写入本地凭证文件。这会导致后续的Terraform操作无法获取有效的AWS凭证。

解决方案

1. 首先获取临时凭证：

aws-vault exec USERNAME -- env | grep AWS

2. 将获取到的临时凭证手动写入~/.aws/credentials文件：

[cloudgoat]
aws_access_key_id = ASIA...
aws_secret_access_key = ...
aws_session_token = ...

3. 配置CloudGoat使用该凭证：

./cloudgoat.py config profile
./cloudgoat.py create vulnerable_lambda

安全建议

1. 临时凭证的有效期通常为1小时，建议在演练完成后立即撤销或等待其自动过期
2. 确保~/.aws/credentials文件的权限设置为600，防止其他用户读取
3. 考虑使用命名profile而非default profile，以便更好地管理多个AWS账户

进阶技巧

对于需要长期运行的演练场景，可以考虑：

1. 编写自动化脚本定期刷新凭证
2. 结合AWS IAM角色实现更细粒度的权限控制
3. 使用jq等工具自动解析和写入凭证信息

通过这种集成方式，安全团队既能享受aws-vault带来的凭证管理便利，又能充分利用CloudGoat进行有效的云安全演练，实现了安全性与功能性的完美平衡。