AWS - MSK Enum
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Amazon Managed Streaming for Apache Kafka (Amazon MSK) は、Apache Kafka を通じてストリーミングデータを処理するアプリケーションの開発と実行を容易にする完全管理型サービスです。クラスターの作成、更新、削除を含む制御プレーン操作は、Amazon MSK によって提供されます。このサービスは、データの生成と消費を含む Apache Kafka の データプレーン操作 の利用を許可します。これは、既存のアプリケーション、ツール、およびパートナーや Apache Kafka コミュニティ からのプラグインとの互換性を確保するために、オープンソース版の Apache Kafka で動作し、アプリケーションコードの変更を必要としません。
信頼性の観点から、Amazon MSK は一般的なクラスター障害シナリオを 自動的に検出し回復する ように設計されており、プロデューサーおよびコンシューマーアプリケーションが最小限の中断でデータの書き込みと読み取りを継続できるようにします。さらに、置き換えられたブローカーのストレージを再利用しようとすることで、データ複製プロセスを最適化することを目指しています。これにより、Apache Kafka によって複製する必要のあるデータの量が最小限に抑えられます。
AWS が作成を許可する Kafka クラスターには、プロビジョンドとサーバーレスの 2 種類があります。
攻撃者の観点から知っておくべきことは次のとおりです:
サーバーレスは直接公開できません(公開されている IP がない VPN 内でのみ実行できます)。ただし、プロビジョンド は パブリック IP を取得するように構成でき(デフォルトではそうではありません)、関連するポートを 公開 するように セキュリティグループ を構成できます。
サーバーレス は IAM のみを認証方法としてサポートします。プロビジョンド は SASL/SCRAM (パスワード) 認証、IAM 認証、AWS Certificate Manager (ACM) 認証、および 未認証 アクセスをサポートします。
未認証アクセスが有効になっている場合、プロビジョンド Kafka を公開することはできないことに注意してください。
もしProvisioned KafkaがあるVPCにアクセスできる場合、不正アクセスを有効にすることができます。SASL/SCRAM認証を使用し、秘密からパスワードを読み取り、他の制御されたユーザーにIAM権限を付与する(IAMまたはサーバーレスを使用している場合)か、証明書を使用して持続させることができます。
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)