AWS - CloudTrail Enum
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
AWS CloudTrail ๋ AWS ํ๊ฒฝ ๋ด์ ํ๋์ ๊ธฐ๋กํ๊ณ ๋ชจ๋ํฐ๋งํฉ๋๋ค. ์ด๋ AWS ๋ฆฌ์์ค์์ ๋ชจ๋ ์ํธ์์ฉ์ ๋ํด ๋๊ฐ ๋ฌด์์, ์ธ์ , ์ด๋์ ํ๋์ง๋ฅผ ํฌํจํ ์์ธํ ์ด๋ฒคํธ ๋ก๊ทธ๋ฅผ ์บก์ฒํฉ๋๋ค. ์ด๋ ๋ณ๊ฒฝ ์ฌํญ ๋ฐ ์์ ์ ๊ฐ์ฌ ์ถ์ ์ ์ ๊ณตํ์ฌ ๋ณด์ ๋ถ์, ๊ท์ ์ค์ ๊ฐ์ฌ ๋ฐ ๋ฆฌ์์ค ๋ณ๊ฒฝ ์ถ์ ์ ๋์์ ์ค๋๋ค. CloudTrail์ ์ฌ์ฉ์ ๋ฐ ๋ฆฌ์์ค ํ๋์ ์ดํดํ๊ณ , ๋ณด์ ํ์ธ๋ฅผ ๊ฐํํ๋ฉฐ, ๊ท์ ์ค์๋ฅผ ๋ณด์ฅํ๋ ๋ฐ ํ์์ ์ ๋๋ค.
๊ฐ ๊ธฐ๋ก๋ ์ด๋ฒคํธ์๋ ๋ค์์ด ํฌํจ๋ฉ๋๋ค:
ํธ์ถ๋ API์ ์ด๋ฆ: eventName
ํธ์ถ๋ ์๋น์ค: eventSource
์๊ฐ: eventTime
IP ์ฃผ์: SourceIPAddress
์์ด์ ํธ ๋ฐฉ๋ฒ: userAgent
. ์:
Signing.amazonaws.com - AWS ๊ด๋ฆฌ ์ฝ์์์
console.amazonaws.com - ๊ณ์ ์ ๋ฃจํธ ์ฌ์ฉ์
lambda.amazonaws.com - AWS Lambda
์์ฒญ ๋งค๊ฐ๋ณ์: requestParameters
์๋ต ์์: responseElements
์ด๋ฒคํธ๋ ์ฝ 5๋ถ๋ง๋ค JSON ํ์ผ๋ก ์๋ก์ด ๋ก๊ทธ ํ์ผ์ ๊ธฐ๋ก๋๋ฉฐ, CloudTrail์ ์ํด ๋ณด๊ด๋๊ณ ๋ง์ง๋ง์ผ๋ก ๋ก๊ทธ ํ์ผ์ ์ฝ 15๋ถ ํ์ S3๋ก ์ ๋ฌ๋ฉ๋๋ค. CloudTrail ๋ก๊ทธ๋ ๊ณ์ ๋ฐ ์ง์ญ ๊ฐ์ ์ง๊ณ๋ ์ ์์ต๋๋ค. CloudTrail์ ๋ก๊ทธ ํ์ผ ๋ฌด๊ฒฐ์ฑ์ ์ฌ์ฉํ์ฌ ๋ก๊ทธ ํ์ผ์ด CloudTrail์ด ์ ๋ฌํ ์ดํ ๋ณ๊ฒฝ๋์ง ์์์์ ํ์ธํ ์ ์๋๋ก ํฉ๋๋ค. ์ด๋ ๋ก๊ทธ์ SHA-256 ํด์๋ฅผ ๋ค์ด์ ์คํธ ํ์ผ ๋ด์ ์์ฑํฉ๋๋ค. ์๋ก์ด ๋ก๊ทธ์ sha-256 ํด์๋ ๋งค์๊ฐ ์์ฑ๋ฉ๋๋ค. Trail์ ์์ฑํ ๋ ์ด๋ฒคํธ ์ ํ๊ธฐ๋ฅผ ์ฌ์ฉํ์ฌ ๊ธฐ๋กํ Trail์ ๊ด๋ฆฌ, ๋ฐ์ดํฐ ๋๋ ์ธ์ฌ์ดํธ ์ด๋ฒคํธ๋ก ์ง์ ํ ์ ์์ต๋๋ค.
๋ก๊ทธ๋ S3 ๋ฒํท์ ์ ์ฅ๋ฉ๋๋ค. ๊ธฐ๋ณธ์ ์ผ๋ก ์๋ฒ ์ธก ์ํธํ(SSE-S3)๊ฐ ์ฌ์ฉ๋๋ฏ๋ก AWS๋ ์ ๊ทผ ๊ถํ์ด ์๋ ์ฌ๋๋ค์ ์ํด ์ฝํ ์ธ ๋ฅผ ๋ณตํธํํ์ง๋ง, ์ถ๊ฐ ๋ณด์์ ์ํด KMS์ ์์ ์ ํค๋ฅผ ์ฌ์ฉํ์ฌ SSE๋ฅผ ์ฌ์ฉํ ์ ์์ต๋๋ค.
๋ก๊ทธ๋ ๋ค์ ์ด๋ฆ ํ์์ S3 ๋ฒํท์ ์ ์ฅ๋ฉ๋๋ค:
BucketName/AWSLogs/AccountID/CloudTrail/RegionName/YYY/MM/DD
BucketName: aws-cloudtrail-logs-<accountid>-<random>
์: aws-cloudtrail-logs-947247140022-ffb95fe7/AWSLogs/947247140022/CloudTrail/ap-south-1/2023/02/22/
๊ฐ ํด๋ ๋ด์ ๊ฐ ๋ก๊ทธ๋ ๋ค์ ํ์์ ๋ฐ๋ฅด๋ ์ด๋ฆ์ ๊ฐ์ง๋๋ค: AccountID_CloudTrail_RegionName_YYYYMMDDTHHMMZ_Random.json.gz
๋ก๊ทธ ํ์ผ ๋ช ๋ช ๊ท์น
๋ํ, ํ์ผ ๋ฌด๊ฒฐ์ฑ์ ํ์ธํ๊ธฐ ์ํ ๋ค์ด์ ์คํธ ํ์ผ์ ๊ฐ์ ๋ฒํท ๋ด์ ์์ต๋๋ค:
๋ก๊ทธ ํ์ผ์ด ์ ๋ฌ๋ AWS ๊ณ์ ์์ Trail์ ์์ฑํฉ๋๋ค.
CloudTrail์ ๋ํ ๊ต์ฐจ ๊ณ์ ์ ๊ทผ์ ํ์ฉํ๋ ๊ถํ์ ๋์ S3 ๋ฒํท์ ์ ์ฉํ๊ณ ์ ๊ทผ์ด ํ์ํ ๊ฐ AWS ๊ณ์ ์ ํ์ฉํฉ๋๋ค.
๋ค๋ฅธ AWS ๊ณ์ ์์ ์ Trail์ ์์ฑํ๊ณ 1๋จ๊ณ์์ ์์ฑ๋ ๋ฒํท์ ์ฌ์ฉํ๋๋ก ์ ํํฉ๋๋ค.
๊ทธ๋ฌ๋ ๋ชจ๋ ๋ก๊ทธ๋ฅผ ๋์ผํ S3 ๋ฒํท์ ์ ์ฅํ ์ ์์ง๋ง, ์ฌ๋ฌ ๊ณ์ ์ CloudTrail ๋ก๊ทธ๋ฅผ ๋จ์ผ AWS ๊ณ์ ์ ์ํ๋ CloudWatch Logs๋ก ์ง๊ณํ ์๋ ์์ต๋๋ค.
๊ณ์ ์ ๋ค๋ฅธ Trails๋ฅผ CloudTrail ์์ ํ์ฑํํ์ฌ ๋์ผํ(๋๋ ๋ค๋ฅธ) ๋ก๊ทธ๋ฅผ ๋ค๋ฅธ ๋ฒํท์ ์ ์ฅํ ์ ์์ต๋๋ค.
CloudTrail์ ์์ฑํ ๋, ์กฐ์ง์ ๋ชจ๋ ๊ณ์ ์ ๋ํด CloudTrail์ ํ์ฑํํ๊ณ ๋ก๊ทธ๋ฅผ ๋จ์ผ ๋ฒํท์ผ๋ก ๊ฐ์ ธ์ค๋๋ก ์ง์ ํ ์ ์์ต๋๋ค:
์ด๋ ๊ฒ ํ๋ฉด ๋ชจ๋ ๊ณ์ ์ ๋ชจ๋ ์ง์ญ์์ CloudTrail์ ์ฝ๊ฒ ๊ตฌ์ฑํ๊ณ ๋ก๊ทธ๋ฅผ 1๊ฐ์ ๊ณ์ ์ ์ค์ ์ง์คํํ ์ ์์ต๋๋ค(์ด ๊ณ์ ์ ๋ณดํธํด์ผ ํฉ๋๋ค).
๋ก๊ทธ๊ฐ ๋ณ๊ฒฝ๋์ง ์์๋์ง ํ์ธํ๋ ค๋ฉด ๋ค์์ ์คํํ ์ ์์ต๋๋ค.
CloudTrail์ ์๋์ผ๋ก ๋ก๊ทธ๋ฅผ CloudWatch๋ก ์ ์กํ ์ ์์ด ์์ฌ์ค๋ฌ์ด ํ๋์ด ์ํ๋ ๋ ๊ฒฝ๊ณ ๋ฅผ ์ค์ ํ ์ ์์ต๋๋ค. CloudTrail์ด ๋ก๊ทธ๋ฅผ CloudWatch๋ก ์ ์กํ ์ ์๋๋ก ํ๋ ค๋ฉด ์ญํ ์ ์์ฑํด์ผ ํ๋ฉฐ, ์ด ์ญํ ์ ํด๋น ์์ ์ ํ์ฉํด์ผ ํฉ๋๋ค. ๊ฐ๋ฅํ๋ค๋ฉด ์ด๋ฌํ ์์ ์ ์ํํ๊ธฐ ์ํด AWS ๊ธฐ๋ณธ ์ญํ ์ ์ฌ์ฉํ๋ ๊ฒ์ด ๊ถ์ฅ๋ฉ๋๋ค. ์ด ์ญํ ์ CloudTrail์ด ๋ค์์ ์ํํ ์ ์๋๋ก ํฉ๋๋ค:
CreateLogStream: CloudWatch Logs ๋ก๊ทธ ์คํธ๋ฆผ์ ์์ฑํ ์ ์์ต๋๋ค.
PutLogEvents: CloudTrail ๋ก๊ทธ๋ฅผ CloudWatch Logs ๋ก๊ทธ ์คํธ๋ฆผ์ ์ ๋ฌํฉ๋๋ค.
CloudTrail Event History๋ ๊ธฐ๋ก๋ ๋ก๊ทธ๋ฅผ ํ ์ด๋ธ์์ ๊ฒ์ฌํ ์ ์๊ฒ ํด์ค๋๋ค:
CloudTrail Insights๋ CloudTrail ํธ๋ ์ผ์ ๊ด๋ฆฌ ์ด๋ฒคํธ๋ฅผ ์๋์ผ๋ก ๋ถ์ํ๊ณ ๋น์ ์์ ์ธ ํ๋์ ๋ํด ๊ฒฝ๊ณ ํฉ๋๋ค. ์๋ฅผ ๋ค์ด, ์ค์ ๋ ๊ธฐ์ค์ ๊ณผ ๋ค๋ฅธ TerminateInstance
์ด๋ฒคํธ์ ์ฆ๊ฐ๊ฐ ์์ ๊ฒฝ์ฐ, ์ด๋ฅผ Insight ์ด๋ฒคํธ๋ก ํ์ธํ ์ ์์ต๋๋ค. ์ด๋ฌํ ์ด๋ฒคํธ๋ ๋น์ ์์ ์ธ API ํ๋์ ์ฐพ๊ณ ๋์ํ๋ ๊ฒ์ ๋ ์ฝ๊ฒ ๋ง๋ค์ด ์ค๋๋ค.
์ธ์ฌ์ดํธ๋ CloudTrail ๋ก๊ทธ์ ๋์ผํ ๋ฒํท์ ์ ์ฅ๋ฉ๋๋ค: BucketName/AWSLogs/AccountID/CloudTrail-Insight
AWS Access Advisor๋ ๋ง์ง๋ง 400์ผ ๋์์ AWS CloudTrail ๋ก๊ทธ๋ฅผ ๊ธฐ๋ฐ์ผ๋ก ์ธ์ฌ์ดํธ๋ฅผ ์์งํฉ๋๋ค. CloudTrail์ AWS ๊ณ์ ์์ ์ํ๋ AWS API ํธ์ถ ๋ฐ ๊ด๋ จ ์ด๋ฒคํธ์ ๊ธฐ๋ก์ ์บก์ฒํฉ๋๋ค. Access Advisor๋ ์ด ๋ฐ์ดํฐ๋ฅผ ํ์ฉํ์ฌ ์๋น์ค๊ฐ ๋ง์ง๋ง์ผ๋ก ์ธ์ ์ ๊ทผ๋์๋์ง ๋ณด์ฌ์ค๋๋ค. CloudTrail ๋ก๊ทธ๋ฅผ ๋ถ์ํจ์ผ๋ก์จ Access Advisor๋ IAM ์ฌ์ฉ์ ๋๋ ์ญํ ์ด ์ด๋ค AWS ์๋น์ค์ ์ ๊ทผํ๋์ง์ ๊ทธ ์ ๊ทผ์ด ์ธ์ ๋ฐ์ํ๋์ง๋ฅผ ํ์ ํ ์ ์์ต๋๋ค. ์ด๋ AWS ๊ด๋ฆฌ์๊ฐ ๊ถํ์ ์ธ๋ถํํ๋ ๋ฐ ์ ๋ณด์ ๊ธฐ๋ฐํ ๊ฒฐ์ ์ ๋ด๋ฆฌ๋ ๋ฐ ๋์์ ์ค๋๋ค, ์ฌ์ฉ๋์ง ์์ ์๋น์ค๋ค์ ์๋ณํ๊ณ ์ค์ ์ฌ์ฉ ํจํด์ ๋ฐ๋ผ ์ง๋์น๊ฒ ๋์ ๊ถํ์ ์ค์ผ ์ ์์ต๋๋ค.
๋ฐ๋ผ์ Access Advisor๋ ์ฌ์ฉ์์๊ฒ ๋ถ์ฌ๋ ๋ถํ์ํ ๊ถํ์ ๋ํด ์๋ฆฌ๋ฏ๋ก ๊ด๋ฆฌ์๊ฐ ์ด๋ฅผ ์ ๊ฑฐํ ์ ์์ต๋๋ค.
CloudTrail ๋ด์์ CVS ์ฃผ์ ์ ์ํํ ์ ์์ผ๋ฉฐ, ๋ก๊ทธ๊ฐ CSV๋ก ๋ด๋ณด๋ด์ง๊ณ Excel๋ก ์ด๋ฆฌ๋ฉด ์์์ ์ฝ๋๋ฅผ ์คํํ ์ ์์ต๋๋ค. ๋ค์ ์ฝ๋๋ ํ์ด๋ก๋๊ฐ ํฌํจ๋ ์๋ชป๋ Trail ์ด๋ฆ์ผ๋ก ๋ก๊ทธ ํญ๋ชฉ์ ์์ฑํฉ๋๋ค:
๋ ๋ง์ ์ ๋ณด๋ CSV ์ธ์ ์ ์ ๋ํด ๋ค์ ํ์ด์ง๋ฅผ ํ์ธํ์ธ์:
์ด ํน์ ๊ธฐ์ ์ ๋ํ ๋ ๋ง์ ์ ๋ณด๋ https://rhinosecuritylabs.com/aws/cloud-security-csv-injection-aws-cloudtrail/๋ฅผ ํ์ธํ์ธ์.
Honeytokens๋ ๋ฏผ๊ฐํ ์ ๋ณด์ ์ ์ถ์ ํ์งํ๊ธฐ ์ํด ์์ฑ๋ฉ๋๋ค. AWS์ ๊ฒฝ์ฐ, ์ด๋ค์ ์ฌ์ฉ์ด ๋ชจ๋ํฐ๋ง๋๋ AWS ํค์ ๋๋ค. ๋ง์ฝ ๊ทธ ํค๋ก ์ด๋ค ํ๋์ด ํธ๋ฆฌ๊ฑฐ๋๋ฉด, ๋๊ตฐ๊ฐ ๊ทธ ํค๋ฅผ ํ์ณค๋ค๋ ๊ฒ์ ์๋ฏธํฉ๋๋ค.
๊ทธ๋ฌ๋ Canarytokens, SpaceCrab, SpaceSiren์์ ์์ฑ๋ Honeytokens๋ ์ธ์ ๊ฐ๋ฅํ ๊ณ์ ์ด๋ฆ์ ์ฌ์ฉํ๊ฑฐ๋ ๋ชจ๋ ๊ณ ๊ฐ์๊ฒ ๋์ผํ AWS ๊ณ์ ID๋ฅผ ์ฌ์ฉํฉ๋๋ค. ๋ฐ๋ผ์ Cloudtrail์ด ๋ก๊ทธ๋ฅผ ์์ฑํ์ง ์๊ณ ๊ณ์ ์ด๋ฆ ๋ฐ/๋๋ ๊ณ์ ID๋ฅผ ์ป์ ์ ์๋ค๋ฉด, ๊ทธ ํค๊ฐ Honeytoken์ธ์ง ์ฌ๋ถ๋ฅผ ์ ์ ์์ต๋๋ค.
Pacu์๋ ํค๊ฐ Canarytokens, SpaceCrab, SpaceSiren์ ์ํ๋์ง ๊ฐ์งํ๋ ๋ช ๊ฐ์ง ๊ท์น์ด ์์ต๋๋ค:
**canarytokens.org
**๊ฐ ์ญํ ์ด๋ฆ์ ๋ํ๋๊ฑฐ๋ ๊ณ์ ID **534261010715
**๊ฐ ์ค๋ฅ ๋ฉ์์ง์ ๋ํ๋ฉ๋๋ค.
์ต๊ทผ์ ํ
์คํธํ ๊ฒฐ๊ณผ, ๊ทธ๋ค์ ๊ณ์ **717712589309
**๋ฅผ ์ฌ์ฉํ๊ณ ์์ผ๋ฉฐ ์ฌ์ ํ ์ด๋ฆ์ canarytokens.com
๋ฌธ์์ด์ด ์์ต๋๋ค.
์ค๋ฅ ๋ฉ์์ง์ ์ญํ ์ด๋ฆ์ **SpaceCrab
**๊ฐ ๋ํ๋ฉ๋๋ค.
SpaceSiren์ ์ฌ์ฉ์ ์ด๋ฆ์ ์์ฑํ๊ธฐ ์ํด uuids๋ฅผ ์ฌ์ฉํฉ๋๋ค: [a-f0-9]{8}-[a-f0-9]{4}-4[a-f0-9]{3}-[89aAbB][a-f0-9]{3}-[a-f0-9]{12}
์ด๋ฆ์ด ๋ฌด์์๋ก ์์ฑ๋ ๊ฒ์ฒ๋ผ ๋ณด์ธ๋ค๋ฉด, ๊ทธ๊ฒ์ด HoneyToken์ผ ํ๋ฅ ์ด ๋์ต๋๋ค.
์ก์ธ์ค ํค ๋ด๋ถ์ ์ธ์ฝ๋ฉ๋ ๊ณ์ ID๋ฅผ ์ฌ๊ธฐ์ ์ค๋ช ํ ๋๋ก ๊ฐ์ ธ์ฌ ์ ์์ผ๋ฉฐ, Honeytokens AWS ๊ณ์ ๋ชฉ๋ก๊ณผ ๊ณ์ ID๋ฅผ ํ์ธํ์ธ์:
Check more information in the ์๋ณธ ์ฐ๊ตฌ.
๊ฐ์ฅ ํจ๊ณผ์ ์ธ ๊ธฐ์ ์ ์ฌ์ค ๊ฐ๋จํฉ๋๋ค. ๋ฐฉ๊ธ ์ฐพ์ ํค๋ฅผ ์ฌ์ฉํ์ฌ ์์ ์ ๊ณต๊ฒฉ์ ๊ณ์ ๋ด์ ์ผ๋ถ ์๋น์ค์ ์ ๊ทผํ์ธ์. ์ด๋ ๊ฒ ํ๋ฉด CloudTrail์ด ๋น์ ์ AWS ๊ณ์ ๋ด์ ๋ก๊ทธ๋ฅผ ์์ฑํ๊ณ ํผํด์์ ๊ณ์ ์๋ ์์ฑํ์ง ์์ต๋๋ค.
๋ฌธ์ ๋ ์ถ๋ ฅ์ ์ค๋ฅ๊ฐ ํ์๋์ด ๊ณ์ ID์ ๊ณ์ ์ด๋ฆ์ ๋ํ๋ด๋ฏ๋ก Honeytoken์ธ์ง ํ์ธํ ์ ์์ต๋๋ค.
๊ณผ๊ฑฐ์๋ CloudTrail์ ๋ก๊ทธ๋ฅผ ์ ์กํ์ง ์๋ AWS ์๋น์ค๊ฐ ์์์ต๋๋ค (์ฌ๊ธฐ์์ ๋ชฉ๋ก์ ์ฐพ์ผ์ธ์). ์ด๋ฌํ ์๋น์ค ์ค ์ผ๋ถ๋ ๋ฌด๋จ ์ ๊ทผ (Honeytoken ํค)์ด ์๋ํ ๊ฒฝ์ฐ ํค ์ญํ ์ ARN์ ํฌํจํ ์ค๋ฅ๋ก ์๋ตํฉ๋๋ค.
์ด๋ ๊ฒ ํ๋ฉด ๊ณต๊ฒฉ์๋ ๋ก๊ทธ๋ฅผ ํธ๋ฆฌ๊ฑฐํ์ง ์๊ณ ํค์ ARN์ ์ป์ ์ ์์ต๋๋ค. ARN์์ ๊ณต๊ฒฉ์๋ AWS ๊ณ์ ID์ ์ด๋ฆ์ ํ์ธํ ์ ์์ผ๋ฉฐ, HoneyToken์ ํ์ฌ ๊ณ์ ID์ ์ด๋ฆ์ ์ฝ๊ฒ ์ ์ ์์ผ๋ฏ๋ก, ์ด๋ ๊ฒ ๊ณต๊ฒฉ์๋ ํ ํฐ์ด HoneyToken์ธ์ง ์๋ณํ ์ ์์ต๋๋ค.
๋ชจ๋ ๊ณต์ฉ API๊ฐ CloudTrail ๋ก๊ทธ๋ฅผ ์์ฑํ์ง ์๋ ๊ฒ์ผ๋ก ๋ฐ๊ฒฌ๋ ๊ฒ์ ์ด์ ์์ ๋์์ผ๋ฏ๋ก, ์๋ง๋ ๋น์ ๋ง์ ๊ฒ์ ์ฐพ์์ผ ํ ๊ฒ์ ๋๋ค...
์์ธํ ๋ด์ฉ์ ์๋ณธ ์ฐ๊ตฌ๋ฅผ ํ์ธํ์ธ์.
ํน์ AWS ์๋น์ค๋ ๋ฐ์ดํฐ๋ฒ ์ด์ค ๋๋ Kubernetes ํด๋ฌ์คํฐ (EKS)์ ๊ฐ์ ์ผ๋ถ ์ธํ๋ผ๋ฅผ ์์ฑํฉ๋๋ค. ์ฌ์ฉ์๊ฐ ์ด๋ฌํ ์๋น์ค์ ์ง์ ํต์ (Kubernetes API์ ๊ฐ์)ํ๋ฉด AWS API๋ฅผ ์ฌ์ฉํ์ง ์์ผ๋ฏ๋ก, CloudTrail์ ์ด ํต์ ์ ๋ณผ ์ ์์ต๋๋ค.
๋ฐ๋ผ์ EKS์ ์ ๊ทผํ ์ ์๋ ์ฌ์ฉ์๊ฐ EKS API์ URL์ ๋ฐ๊ฒฌํ๋ฉด ๋ก์ปฌ์์ ํ ํฐ์ ์์ฑํ๊ณ CloudTrail์ ๊ฐ์ง๋์ง ์๊ณ API ์๋น์ค์ ์ง์ ํต์ ํ ์ ์์ต๋๋ค.
์์ธํ ๋ด์ฉ์:
์ฒซ ๋ฒ์งธ ์์ ์์๋ ๋จ์ผ ๊ฐ์ฒด๊ฐ ํฌํจ๋ JSON ๋ฐฐ์ด๋ก ๋จ์ผ ์ด๋ฒคํธ ์ ํ๊ธฐ๊ฐ ์ ๊ณต๋ฉ๋๋ค. "ReadWriteType": "ReadOnly"
๋ ์ด๋ฒคํธ ์ ํ๊ธฐ๊ฐ ์ฝ๊ธฐ ์ ์ฉ ์ด๋ฒคํธ๋ง ์บก์ฒํด์ผ ํจ์ ๋ํ๋
๋๋ค (์๋ฅผ ๋ค์ด CloudTrail ์ธ์ฌ์ดํธ๋ ์ฐ๊ธฐ ์ด๋ฒคํธ๋ฅผ ํ์ธํ์ง ์์ต๋๋ค).
ํน์ ์๊ตฌ ์ฌํญ์ ๋ฐ๋ผ ์ด๋ฒคํธ ์ ํ๊ธฐ๋ฅผ ์ฌ์ฉ์ ์ ์ํ ์ ์์ต๋๋ค.
S3 ๋ฒํท ์ญ์
CloudTrail ์๋น์ค์์์ ๋ชจ๋ ์ฐ๊ธฐ๋ฅผ ๊ฑฐ๋ถํ๋๋ก ๋ฒํท ์ ์ฑ ๋ณ๊ฒฝ
๊ฐ์ฒด ์ญ์ ๋ฅผ ์ํ S3 ๋ฒํท์ ์์ ์ฃผ๊ธฐ ์ ์ฑ ์ถ๊ฐ
CloudTrail ๋ก๊ทธ๋ฅผ ์ํธํํ๋ ๋ฐ ์ฌ์ฉ๋๋ KMS ํค ๋นํ์ฑํ
๋น๋์นญ ํค๋ฅผ ์์ฑํ๊ณ CloudTrail์ด ํด๋น ํค๋ก ๋ฐ์ดํฐ๋ฅผ ์ํธํํ๊ฒ ํ ๋ค์ ๊ฐ์ธ ํค๋ฅผ ์ญ์ ํ์ฌ CloudTrail ๋ด์ฉ์ด ๋ณต๊ตฌ๋ ์ ์๋๋ก ํ ์ ์์ต๋๋ค. ์ด๋ ๊ธฐ๋ณธ์ ์ผ๋ก ๋ค์์์ ์ค๋ช ๋ S3-KMS ๋์ฌ์จ์ด์ ๋๋ค:
KMS ๋์ฌ์จ์ด
์ด๋ ์ด์ ๊ณต๊ฒฉ์ ์ํํ๋ ๊ฐ์ฅ ์ฌ์ด ๋ฐฉ๋ฒ์ผ๋ก, ๋ค๋ฅธ ๊ถํ ์๊ตฌ ์ฌํญ์ด ์์ต๋๋ค:
AWS ํดํน ๋ฐฐ์ฐ๊ธฐ ๋ฐ ์ฐ์ตํ๊ธฐ:HackTricks Training AWS Red Team Expert (ARTE) GCP ํดํน ๋ฐฐ์ฐ๊ธฐ ๋ฐ ์ฐ์ตํ๊ธฐ: HackTricks Training GCP Red Team Expert (GRTE)