Dit is moontlik om toegang tot geheime aan eksterne rekeninge te verleen via hulpbronbeleide. Kyk na die Secrets Manager Privesc-bladsy vir meer inligting. Let daarop dat om toegang tot 'n geheim te verkry, die eksterne rekening ook toegang tot die KMS-sleutel wat die geheim versleutel sal benodig.
Via Geheime Rotasie Lambda
Om geheime outomaties te rotaar, word 'n gekonfigureerde Lambda aangeroep. As 'n aanvaller die kode kan verander, kan hy direk die nuwe geheim na homself uitvoer.
So kan die lambda-kode vir so 'n aksie lyk:
import boto3defrotate_secrets(event,context):# Create a Secrets Manager clientclient = boto3.client('secretsmanager')# Retrieve the current secret valuesecret_value = client.get_secret_value(SecretId='example_secret_id')['SecretString']# Rotate the secret by updating its valuenew_secret_value =rotate_secret(secret_value)client.update_secret(SecretId='example_secret_id', SecretString=new_secret_value)defrotate_secret(secret_value):# Perform the rotation logic here, e.g., generate a new password# Example: Generate a new passwordnew_secret_value =generate_password()return new_secret_valuedefgenerate_password():# Example: Generate a random password using the secrets moduleimport secretsimport stringpassword =''.join(secrets.choice(string.ascii_letters + string.digits) for i inrange(16))return password
