AWS Secrets Manager

AWS Secrets Manager ist darauf ausgelegt, die Verwendung von fest codierten Geheimnissen in Anwendungen durch einen API-Aufruf zu ersetzen. Dieser Dienst dient als zentrales Repository für alle Ihre Geheimnisse, um sicherzustellen, dass sie einheitlich in allen Anwendungen verwaltet werden.

Der Manager vereinfacht den Prozess des Rotierens von Geheimnissen erheblich und verbessert die Sicherheitslage sensibler Daten wie Datenbankanmeldeinformationen erheblich. Darüber hinaus können Geheimnisse wie API-Schlüssel automatisch mit der Integration von Lambda-Funktionen rotiert werden.

Der Zugriff auf Geheimnisse wird durch detaillierte IAM-Identitätsrichtlinien und ressourcenbasierte Richtlinien streng kontrolliert.

Um einem Benutzer aus einem anderen AWS-Konto Zugriff auf Geheimnisse zu gewähren, ist Folgendes erforderlich:

1. Autorisieren Sie den Benutzer, auf das Geheimnis zuzugreifen.

2. Gewähren Sie dem Benutzer die Berechtigung, das Geheimnis mit KMS zu entschlüsseln.

3. Ändern Sie die Schlüsselrichtlinie, um dem externen Benutzer die Verwendung zu ermöglichen.

AWS Secrets Manager integriert sich mit AWS KMS, um Ihre Geheimnisse innerhalb des AWS Secrets Manager zu verschlüsseln.

Enumeration

aws secretsmanager list-secrets #Get metadata of all secrets
aws secretsmanager list-secret-version-ids --secret-id <secret_name> # Get versions
aws secretsmanager describe-secret --secret-id <secret_name> # Get metadata
aws secretsmanager get-secret-value --secret-id <secret_name> # Get value
aws secretsmanager get-secret-value --secret-id <secret_name> --version-id <version-id> # Get value of a different version
aws secretsmanager get-resource-policy --secret-id --secret-id <secret_name>

Privesc

Post Exploitation

Persistence