GCP - KMS Privesc

KMS

Πληροφορίες σχετικά με το KMS:

Σημειώστε ότι στο KMS οι άδειες δεν κληρονομούνται μόνο από Οργανισμούς, Φάκελους και Έργα αλλά και από Keyrings.

cloudkms.cryptoKeyVersions.useToDecrypt

Μπορείτε να χρησιμοποιήσετε αυτήν την άδεια για να αποκρυπτογραφήσετε πληροφορίες με το κλειδί για το οποίο έχετε αυτήν την άδεια.

gcloud kms decrypt \
--location=[LOCATION] \
--keyring=[KEYRING_NAME] \
--key=[KEY_NAME] \
--version=[KEY_VERSION] \
--ciphertext-file=[ENCRYPTED_FILE_PATH] \
--plaintext-file=[DECRYPTED_FILE_PATH]

cloudkms.cryptoKeys.setIamPolicy

Ένας επιτιθέμενος με αυτή την άδεια θα μπορούσε να δώσει στον εαυτό του άδειες για να χρησιμοποιήσει το κλειδί για να αποκρυπτογραφήσει πληροφορίες.

gcloud kms keys add-iam-policy-binding [KEY_NAME] \
--location [LOCATION] \
--keyring [KEYRING_NAME] \
--member [MEMBER] \
--role roles/cloudkms.cryptoKeyDecrypter

cloudkms.cryptoKeyVersions.useToDecryptViaDelegation

Ακολουθεί μια εννοιολογική ανάλυση του πώς λειτουργεί αυτή η εξουσιοδότηση:

1. Service Account A έχει άμεση πρόσβαση για αποκρυπτογράφηση χρησιμοποιώντας ένα συγκεκριμένο κλειδί στο KMS.

2. Service Account B έχει παραχωρηθεί η άδεια useToDecryptViaDelegation. Αυτό του επιτρέπει να ζητά από το KMS να αποκρυπτογραφήσει δεδομένα εκ μέρους του Service Account A.

Η χρήση αυτής της άδειας είναι έμμεση στον τρόπο που η υπηρεσία KMS ελέγχει τις άδειες όταν υποβάλλεται ένα αίτημα αποκρυπτογράφησης.

Όταν υποβάλετε ένα τυπικό αίτημα αποκρυπτογράφησης χρησιμοποιώντας το Google Cloud KMS API (σε Python ή άλλη γλώσσα), η υπηρεσία ελέγχει αν ο ζητών λογαριασμός υπηρεσίας έχει τις απαραίτητες άδειες. Εάν το αίτημα υποβάλλεται από έναν λογαριασμό υπηρεσίας με την άδεια useToDecryptViaDelegation, το KMS επαληθεύει αν αυτός ο λογαριασμός επιτρέπεται να ζητήσει αποκρυπτογράφηση εκ μέρους της οντότητας που κατέχει το κλειδί.

Setting Up for Delegation

1. Define the Custom Role: Δημιουργήστε ένα αρχείο YAML (π.χ., custom_role.yaml) που ορίζει τον προσαρμοσμένο ρόλο. Αυτό το αρχείο θα πρέπει να περιλαμβάνει την άδεια cloudkms.cryptoKeyVersions.useToDecryptViaDelegation. Ακολουθεί ένα παράδειγμα του πώς μπορεί να φαίνεται αυτό το αρχείο:

title: "KMS Decryption via Delegation"
description: "Allows decryption via delegation"
stage: "GA"
includedPermissions:
- "cloudkms.cryptoKeyVersions.useToDecryptViaDelegation"

1. Δημιουργήστε τον Προσαρμοσμένο Ρόλο Χρησιμοποιώντας το gcloud CLI: Χρησιμοποιήστε την παρακάτω εντολή για να δημιουργήσετε τον προσαρμοσμένο ρόλο στο έργο σας στο Google Cloud:

gcloud iam roles create kms_decryptor_via_delegation --project [YOUR_PROJECT_ID] --file custom_role.yaml

Αντικαταστήστε το [YOUR_PROJECT_ID] με το ID του έργου σας στο Google Cloud.

1. Δώστε τον Προσαρμοσμένο Ρόλο σε έναν Λογαριασμό Υπηρεσίας: Αναθέστε τον προσαρμοσμένο ρόλο σε έναν λογαριασμό υπηρεσίας που θα χρησιμοποιεί αυτή την άδεια. Χρησιμοποιήστε την παρακάτω εντολή:

# Give this permission to the service account to impersonate
gcloud projects add-iam-policy-binding [PROJECT_ID] \
--member "serviceAccount:[SERVICE_ACCOUNT_B_EMAIL]" \
--role "projects/[PROJECT_ID]/roles/[CUSTOM_ROLE_ID]"

# Give this permission over the project to be able to impersonate any SA
gcloud projects add-iam-policy-binding [YOUR_PROJECT_ID] \
--member="serviceAccount:[SERVICE_ACCOUNT_EMAIL]" \
--role="projects/[YOUR_PROJECT_ID]/roles/kms_decryptor_via_delegation"

Αντικαταστήστε το [YOUR_PROJECT_ID] και το [SERVICE_ACCOUNT_EMAIL] με το ID του έργου σας και το email του λογαριασμού υπηρεσίας, αντίστοιχα.