AWS - Redshift Enum
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Redshift ni huduma inayosimamiwa kikamilifu ambayo inaweza kupanuka hadi zaidi ya petabyte kwa ukubwa, ambayo inatumika kama ghala la data kwa suluhisho za big data. Kwa kutumia klasta za Redshift, unaweza kufanya uchambuzi dhidi ya seti zako za data kwa kutumia zana za uchunguzi za haraka, zinazotegemea SQL na programu za akili ya biashara ili kupata ufahamu mkubwa wa maono ya biashara yako.
Redshift inatoa usimbaji wa data wakati wa kupumzika kwa kutumia ngazi nne za funguo za usimbaji kwa kutumia KMS au CloudHSM kusimamia ngazi ya juu ya funguo. Wakati usimbaji unapoanzishwa kwa klasta yako, hauwezi kuzuiliwa na kinyume chake. Wakati una klasta isiyo na usimbaji, haiwezi kusimbwa.
Usimbaji wa klasta yako unaweza kutokea tu wakati wa uundaji wake, na mara tu inaposimbwa, data, metadata, na picha zozote pia zimefungwa. Ngazi za funguo za usimbaji ni kama ifuatavyo, ngazi moja ni funguo kuu, ngazi mbili ni funguo za usimbaji wa klasta, CEK, ngazi tatu, funguo za usimbaji wa hifadhidata, DEK, na hatimaye ngazi nne, funguo za usimbaji wa data wenyewe.
Wakati wa uundaji wa klasta yako, unaweza kuchagua funguo za KMS za default kwa Redshift au kuchagua CMK yako mwenyewe, ambayo inakupa kubadilika zaidi juu ya udhibiti wa funguo, hasa kutoka mtazamo wa kuweza kukaguliwa.
Funguo za KMS za default kwa Redshift zinaundwa kiotomatiki na Redshift wakati wa mara ya kwanza chaguo la funguo linapochaguliwa na kutumika, na inasimamiwa kikamilifu na AWS.
Funguo hii ya KMS kisha inasimbwa kwa funguo kuu ya CMK, ngazi moja. Funguo hii ya data ya KMS iliyosimbwa kisha inatumika kama funguo za usimbaji wa klasta, CEK, ngazi mbili. CEK hii kisha inatumwa na KMS kwa Redshift ambapo inahifadhiwa tofauti na klasta. Redshift kisha inatuma CEK hii iliyosimbwa kwa klasta kupitia njia salama ambapo inahifadhiwa kwenye kumbukumbu.
Redshift kisha inaomba KMS kusimbua CEK, ngazi mbili. CEK hii iliyosimbwa kisha inahifadhiwa pia kwenye kumbukumbu. Redshift kisha inaunda funguo za usimbaji wa hifadhidata za nasibu, DEK, ngazi tatu, na kuziingiza kwenye kumbukumbu ya klasta. CEK iliyosimbwa kwenye kumbukumbu kisha inasimbua DEK, ambayo pia inahifadhiwa kwenye kumbukumbu.
DEK hii iliyosimbwa kisha inatumwa kupitia njia salama na kuhifadhiwa katika Redshift tofauti na klasta. CEK na DEK sasa zimehifadhiwa kwenye kumbukumbu ya klasta zote kwa njia ya usimbaji na usimbuaji. DEK iliyosimbwa kisha inatumika kusimbua funguo za data, ngazi nne, ambazo zinaundwa kwa nasibu na Redshift kwa kila block ya data katika hifadhidata.
Unaweza kutumia AWS Trusted Advisor kufuatilia usanidi wa ndoo zako za Amazon S3 na kuhakikisha kuwa uandishi wa ndoo umewezeshwa, ambayo inaweza kuwa muhimu kwa kufanya ukaguzi wa usalama na kufuatilia mifumo ya matumizi katika S3.
Hatua zifuatazo zinaruhusu kutoa ufikiaji kwa akaunti nyingine za AWS kwa klasta:
Jifunze & fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Jifunze & fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)