S3

Vir meer inligting kyk:

KMS Kliëntkant Versleuteling

Wanneer die versleutelingsproses voltooi is, sal die gebruiker die KMS API gebruik om 'n nuwe sleutel te genereer (aws kms generate-data-key) en hy sal die gegenereerde versleutelde sleutel binne die metadata van die lêer stoor (python-kodevoorbeeld) sodat wanneer die dekriptering plaasvind, dit dit weer met KMS kan dekripteer:

Daarom kan 'n aanvaller hierdie sleutel uit die metadata kry en met KMS dekripteer (aws kms decrypt) om die sleutel wat gebruik is om die inligting te versleutel, te verkry. Op hierdie manier sal die aanvaller die versleutelingssleutel hê en as daardie sleutel hergebruik word om ander lêers te versleutel, sal hy dit kan gebruik.

Gebruik van S3 ACL's

Alhoewel gewoonlik ACL's van emmers gedeaktiveer is, kan 'n aanvaller met genoeg voorregte hulle misbruik (indien geaktiveer of as die aanvaller hulle kan aktiveer) om toegang tot die S3-emmer te behou.