KMS

Für weitere Informationen siehe:

Zugriff über KMS-Richtlinien gewähren

Ein Angreifer könnte die Berechtigung kms:PutKeyPolicy verwenden, um einem Benutzer unter seiner Kontrolle oder sogar einem externen Konto Zugriff auf einen Schlüssel zu gewähren. Überprüfen Sie die KMS-Privileg Eskalation Seite für weitere Informationen.

Ewige Gewährung

Gewährungen sind ein weiterer Weg, einem Prinzipal bestimmte Berechtigungen über einen bestimmten Schlüssel zu geben. Es ist möglich, eine Gewährung zu geben, die einem Benutzer das Erstellen von Gewährungen ermöglicht. Darüber hinaus kann ein Benutzer mehrere Gewährungen (sogar identische) über denselben Schlüssel haben.

Daher ist es möglich, dass ein Benutzer 10 Gewährungen mit allen Berechtigungen hat. Der Angreifer sollte dies ständig überwachen. Und wenn zu einem Zeitpunkt eine Gewährung entfernt wird, sollten weitere 10 generiert werden.

(Wir verwenden 10 und nicht 2, um feststellen zu können, dass eine Gewährung entfernt wurde, während der Benutzer immer noch einige Gewährungen hat)

# To generate grants, generate 10 like this one
aws kms create-grant \
--key-id <key-id> \
--grantee-principal <user_arn> \
--operations "CreateGrant" "Decrypt"

# To monitor grants
aws kms list-grants --key-id <key-id>