AWS - KMS Persistence

KMS

अधिक जानकारी के लिए देखें:

KMS नीतियों के माध्यम से पहुँच प्रदान करें

एक हमलावर kms:PutKeyPolicy अनुमति का उपयोग करके एक कुंजी को उसके नियंत्रण में एक उपयोगकर्ता या यहां तक कि एक बाहरी खाते को पहुँच देने के लिए कर सकता है। अधिक जानकारी के लिए KMS Privesc पृष्ठ देखें।

शाश्वत अनुदान

अनुदान एक विशिष्ट कुंजी पर किसी प्रिंसिपल को कुछ अनुमतियाँ देने का एक और तरीका है। यह संभव है कि एक अनुदान दिया जाए जो एक उपयोगकर्ता को अनुदान बनाने की अनुमति देता है। इसके अलावा, एक उपयोगकर्ता के पास एक ही कुंजी पर कई अनुदान (यहां तक कि समान) हो सकते हैं।

इसलिए, एक उपयोगकर्ता के पास सभी अनुमतियों के साथ 10 अनुदान हो सकते हैं। हमलावर को इसे लगातार मॉनिटर करना चाहिए। और यदि किसी बिंदु पर 1 अनुदान हटा दिया जाता है, तो अन्य 10 उत्पन्न होने चाहिए।

(हम 10 का उपयोग कर रहे हैं और 2 का नहीं ताकि यह पता चल सके कि एक अनुदान हटा दिया गया था जबकि उपयोगकर्ता के पास अभी भी कुछ अनुदान हैं)

# To generate grants, generate 10 like this one
aws kms create-grant \
--key-id <key-id> \
--grantee-principal <user_arn> \
--operations "CreateGrant" "Decrypt"

# To monitor grants
aws kms list-grants --key-id <key-id>