GCP - KMS Privesc
KMS
Información sobre KMS:
pageGCP - KMS EnumTen en cuenta que en KMS los permisos no solo se heredan de Organizaciones, Carpetas y Proyectos, sino también de Keyrings.
cloudkms.cryptoKeyVersions.useToDecrypt
cloudkms.cryptoKeyVersions.useToDecrypt
Puedes usar este permiso para descifrar información con la clave sobre la que tienes este permiso.
cloudkms.cryptoKeys.setIamPolicy
cloudkms.cryptoKeys.setIamPolicy
Un atacante con este permiso podría darse permisos para usar la clave para desencriptar información.
cloudkms.cryptoKeyVersions.useToDecryptViaDelegation
cloudkms.cryptoKeyVersions.useToDecryptViaDelegation
Aquí hay un desglose conceptual de cómo funciona esta delegación:
Service Account A tiene acceso directo para desencriptar usando una llave específica en KMS.
Service Account B recibe el permiso
useToDecryptViaDelegation
. Esto le permite solicitar a KMS desencriptar datos en nombre de Service Account A.
El uso de este permiso es implícito en la forma en que el servicio KMS verifica los permisos cuando se realiza una solicitud de desencriptación.
Cuando haces una solicitud de desencriptación estándar usando la API de Google Cloud KMS (en Python u otro lenguaje), el servicio verifica si la service account solicitante tiene los permisos necesarios. Si la solicitud la realiza una service account con el permiso useToDecryptViaDelegation
, KMS verifica si esta cuenta está autorizada para solicitar la desencriptación en nombre de la entidad que posee la llave.
Configuración para la Delegación
Definir el Rol Personalizado: Crea un archivo YAML (por ejemplo,
custom_role.yaml
) que defina el rol personalizado. Este archivo debe incluir el permisocloudkms.cryptoKeyVersions.useToDecryptViaDelegation
. Aquí hay un ejemplo de cómo podría lucir este archivo:
Crear el Rol Personalizado Usando la CLI de gcloud: Utiliza el siguiente comando para crear el rol personalizado en tu proyecto de Google Cloud:
Reemplaza [YOUR_PROJECT_ID]
con el ID de tu proyecto de Google Cloud.
Asignar el Rol Personalizado a una Cuenta de Servicio: Asigna tu rol personalizado a una cuenta de servicio que utilizará este permiso. Utiliza el siguiente comando:
Reemplace [YOUR_PROJECT_ID]
y [SERVICE_ACCOUNT_EMAIL]
con su ID de proyecto y el correo electrónico de la cuenta de servicio, respectivamente.
Última actualización