GCP - KMS Privesc

KMS

KMS hakkında bilgi:

KMS'de izinlerin yalnızca Organizasyonlar, Klasörler ve Projelerden değil, aynı zamanda Anahtar Halkalarından da devralındığını unutmayın.

cloudkms.cryptoKeyVersions.useToDecrypt

Bu izni, üzerinde bu izne sahip olduğunuz anahtarla bilgileri şifre çözmek için kullanabilirsiniz.

gcloud kms decrypt \
--location=[LOCATION] \
--keyring=[KEYRING_NAME] \
--key=[KEY_NAME] \
--version=[KEY_VERSION] \
--ciphertext-file=[ENCRYPTED_FILE_PATH] \
--plaintext-file=[DECRYPTED_FILE_PATH]

cloudkms.cryptoKeys.setIamPolicy

Bu izne sahip bir saldırgan, kendisine izinler verebilir ve anahtarı kullanarak bilgileri şifrelerini çözebilir.

gcloud kms keys add-iam-policy-binding [KEY_NAME] \
--location [LOCATION] \
--keyring [KEYRING_NAME] \
--member [MEMBER] \
--role roles/cloudkms.cryptoKeyDecrypter

cloudkms.cryptoKeyVersions.useToDecryptViaDelegation

Bu delegasyonun nasıl çalıştığına dair kavramsal bir analiz:

1. Hizmet Hesabı A, KMS'de belirli bir anahtarı kullanarak şifre çözme işlemi için doğrudan erişime sahiptir.

2. Hizmet Hesabı B, useToDecryptViaDelegation iznine sahiptir. Bu, onun KMS'den, Hizmet Hesabı A adına veri şifre çözme talep etmesine olanak tanır.

Bu izin, KMS hizmetinin izinleri kontrol etme şekliyle örtük olarak kullanılır; bir şifre çözme talebi yapıldığında.

Google Cloud KMS API'sini (Python veya başka bir dilde) kullanarak standart bir şifre çözme talebi yaptığınızda, hizmet talep eden hizmet hesabının gerekli izinlere sahip olup olmadığını kontrol eder. Eğer talep, useToDecryptViaDelegation iznine sahip bir hizmet hesabı tarafından yapılırsa, KMS bu hesabın anahtarın sahibi adına şifre çözme talep etmesine izin verilip verilmediğini doğrular.

Delegasyon İçin Ayarlama

1. Özel Rolü Tanımlayın: Özel rolü tanımlayan bir YAML dosyası oluşturun (örneğin, custom_role.yaml). Bu dosya, cloudkms.cryptoKeyVersions.useToDecryptViaDelegation iznini içermelidir. Bu dosyanın nasıl görünebileceğine dair bir örnek:

title: "KMS Decryption via Delegation"
description: "Allows decryption via delegation"
stage: "GA"
includedPermissions:
- "cloudkms.cryptoKeyVersions.useToDecryptViaDelegation"

1. Özel Rolü gcloud CLI Kullanarak Oluşturun: Google Cloud projenizde özel rolü oluşturmak için aşağıdaki komutu kullanın:

gcloud iam roles create kms_decryptor_via_delegation --project [YOUR_PROJECT_ID] --file custom_role.yaml

[YOUR_PROJECT_ID] kısmını Google Cloud proje kimliğinizle değiştirin.

1. Özel Rolü Bir Hizmet Hesabına Verin: Bu izni kullanacak bir hizmet hesabına özel rolünüzü atayın. Aşağıdaki komutu kullanın:

# Give this permission to the service account to impersonate
gcloud projects add-iam-policy-binding [PROJECT_ID] \
--member "serviceAccount:[SERVICE_ACCOUNT_B_EMAIL]" \
--role "projects/[PROJECT_ID]/roles/[CUSTOM_ROLE_ID]"

# Give this permission over the project to be able to impersonate any SA
gcloud projects add-iam-policy-binding [YOUR_PROJECT_ID] \
--member="serviceAccount:[SERVICE_ACCOUNT_EMAIL]" \
--role="projects/[YOUR_PROJECT_ID]/roles/kms_decryptor_via_delegation"

[YOUR_PROJECT_ID] ve [SERVICE_ACCOUNT_EMAIL] değerlerini sırasıyla proje kimliğiniz ve hizmet hesabının e-posta adresi ile değiştirin.