AWS - KMS Enum
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Huduma ya Usimamizi wa Funguo ya AWS (AWS KMS) inawasilishwa kama huduma inayosimamiwa, ikirahisisha mchakato kwa watumiaji ku unda na kusimamia funguo kuu za wateja (CMKs). CMKs hizi ni muhimu katika usimbaji wa data za watumiaji. Kipengele muhimu cha AWS KMS ni kwamba CMKs kwa kiasi kikubwa zimehifadhiwa na moduli za usalama wa vifaa (HSMs), zikiongeza ulinzi wa funguo za usimbaji.
KMS inatumia simbiko la kawaida. Hii inatumika ku simbua taarifa wakati wa kupumzika (kwa mfano, ndani ya S3). Ikiwa unahitaji ku simbua taarifa wakati wa usafiri unahitaji kutumia kitu kama TLS.
KMS ni huduma maalum ya eneo.
Wasimamizi katika Amazon hawana ufikiaji wa funguo zako. Hawawezi kurejesha funguo zako na hawawezi kukusaidia katika usimbaji wa funguo zako. AWS inasimamia tu mfumo wa uendeshaji na programu ya msingi, ni jukumu letu kusimamia funguo zetu za usimbaji na kusimamia jinsi funguo hizo zinavyotumika.
Funguo Kuu za Wateja (CMK): Zinaweza kusimbua data hadi ukubwa wa 4KB. Kwa kawaida hutumiwa kuunda, kusimbua, na kufungua DEKs (Funguo za Usimbaji wa Data). Kisha DEKs zinatumika kusimbua data.
Funguo kuu ya mteja (CMK) ni uwakilishi wa kimantiki wa funguo kuu katika AWS KMS. Mbali na vitambulisho vya funguo kuu na metadata nyingine, ikiwa ni pamoja na tarehe yake ya kuundwa, maelezo, na hali ya funguo, CMK ina nyenzo za funguo ambazo zilitumika kusimbua na kufungua data. Unapounda CMK, kwa kawaida, AWS KMS inazalisha nyenzo za funguo kwa CMK hiyo. Hata hivyo, unaweza kuchagua kuunda CMK bila nyenzo za funguo na kisha kuingiza nyenzo zako za funguo katika CMK hiyo.
Kuna aina 2 za funguo kuu:
CMKs zinazodhibitiwa na AWS: Zinatumika na huduma nyingine kusimbua data. Inatumika na huduma iliyoiunda katika eneo. Zinaundwa mara ya kwanza unapoanzisha usimbaji katika huduma hiyo. Hubadilishwa kila miaka 3 na haiwezekani kubadilishwa.
CMKs za Meneja wa Wateja: Uwezo, kubadilisha, ufikiaji unaoweza kubadilishwa na sera za funguo. Wezesha na uzuie funguo.
Usimbaji wa Envelope katika muktadha wa Huduma ya Usimamizi wa Funguo (KMS): Mfumo wa ngazi mbili ili kusimbua data kwa funguo za data na kisha kusimbua funguo za data kwa funguo kuu.
Hizi zinaeleza nani anaweza kutumia na kufikia funguo katika KMS.
Kwa kawaida:
Inatoa IAM ya akaunti ya AWS inayomiliki funguo za KMS ufikiaji wa kusimamia ufikiaji wa funguo za KMS kupitia IAM.
Tofauti na sera nyingine za rasilimali za AWS, sera ya funguo za AWS KMS haipatii ruhusa moja kwa moja yeyote wa wakuu wa akaunti. Ili kutoa ruhusa kwa wasimamizi wa akaunti, sera ya funguo lazima iwe na taarifa wazi inayotoa ruhusa hii, kama hii.
Bila kuruhusu akaunti ("AWS": "arn:aws:iam::111122223333:root"
) ruhusa za IAM hazitafanya kazi.
In aruhusu akaunti kutumia sera za IAM kuruhusu ufikiaji wa funguo za KMS, pamoja na sera ya funguo.
Bila ruhusa hii, sera za IAM zinazoruhusu ufikiaji wa funguo hazifanyi kazi, ingawa sera za IAM zinazokataa ufikiaji wa funguo bado zinafanya kazi.
In punguza hatari ya funguo kuwa ngumu kusimamia kwa kutoa ruhusa ya udhibiti wa ufikiaji kwa wasimamizi wa akaunti, ikiwa ni pamoja na mtumiaji wa mzizi wa akaunti, ambaye cannot kufutwa.
Mfano wa sera ya kawaida:
Ikiwa akaunti inaruhusiwa ("arn:aws:iam::111122223333:root"
), mwanachama kutoka kwenye akaunti bado anahitaji ruhusa za IAM kutumia funguo za KMS. Hata hivyo, ikiwa ARN ya jukumu kwa mfano inaruhusiwa hasa katika Sera ya Funguo, jukumu hilo halihitaji ruhusa za IAM.
Msimamizi wa funguo kwa default:
Wana upatikanaji wa kusimamia KMS lakini si kuandika au kufungua data
Watumiaji wa IAM pekee na majukumu yanaweza kuongezwa kwenye orodha ya Wasimamizi wa Funguo (sio vikundi)
Ikiwa CMK ya nje inatumika, Wasimamizi wa Funguo wana ruhusa ya kuingiza vifaa vya funguo
Kadri funguo hiyo hiyo inavyoachwa mahali, ndivyo data zaidi inavyoandikwa kwa funguo hiyo, na ikiwa funguo hiyo itavunjwa, basi eneo kubwa la data liko hatarini. Mbali na hii, kadri funguo hiyo inavyokuwa hai, uwezekano wa kuathirika unakua.
KMS inageuza funguo za wateja kila siku 365 (au unaweza kufanya mchakato huo kwa mikono wakati wowote unapotaka) na funguo zinazodhibitiwa na AWS kila miaka 3 na wakati huu haiwezi kubadilishwa.
Funguo za zamani zinahifadhiwa kufungua data ambayo ilifungwa kabla ya mzunguko
Katika tukio la uvunjaji, kugeuza funguo hakutafuta tishio kwani itakuwa inawezekana kufungua data yote iliyofungwa kwa funguo iliyovunjika. Hata hivyo, data mpya itafungwa kwa funguo mpya.
Ikiwa CMK iko katika hali ya kuzuiliwa au kusubiri kuondolewa, KMS haitafanya mzunguko wa funguo hadi CMK irejeshwe au kuondolewa kukataliwa.
CMK mpya inahitaji kuundwa, kisha, CMK-ID mpya inaundwa, hivyo utahitaji kusasisha yoyote programu ili kuashiria CMK-ID mpya.
Ili kufanya mchakato huu kuwa rahisi unaweza kutumia majina ya utambulisho kuashiria kitambulisho cha funguo na kisha tu kusasisha funguo ambayo jina la utambulisho linarejelea.
Unahitaji kuhifadhi funguo za zamani kufungua faili za zamani zilizofungwa nayo.
Unaweza kuingiza funguo kutoka kwenye miundombinu yako ya funguo ya ndani.
KMS inagharimu kulingana na idadi ya maombi ya uandishi/uandishi yaliyopokelewa kutoka kwa huduma zote kwa mwezi.
KMS ina ukaguzi kamili na kuunganishwa kwa kufuata sheria na CloudTrail; hapa ndipo unaweza kukagua mabadiliko yote yaliyofanywa kwenye KMS.
Kwa sera ya KMS unaweza kufanya yafuatayo:
Punguza nani anaweza kuunda funguo za data na ni huduma zipi zina upatikanaji wa kutumia funguo hizi
Punguza upatikanaji wa mifumo kuandika tu, kufungua tu au zote mbili
Mwelekeo wa kuwezesha mifumo kufikia funguo katika maeneo tofauti (ingawa haipendekezwi kwani kushindwa katika eneo linalohifadhi KMS kutakathiri upatikanaji wa mifumo katika maeneo mengine).
Huwezi kuunganisha au kuhamasisha/kopi funguo kati ya maeneo; unaweza tu kufafanua sheria za kuruhusu upatikanaji kati ya eneo.
Jifunze & fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Jifunze & fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)