KMS

अधिक जानकारी के लिए देखें:

KMS नीतियों के माध्यम से पहुंच प्रदान करें

एक हमलावर को अनुमति kms:PutKeyPolicy का उपयोग करके एक कुंजी को उसके नियंत्रण में एक उपयोगकर्ता को या यहां तक कि एक बाहरी खाते को पहुंच देने के लिए कर सकता है। अधिक जानकारी के लिए KMS Privesc पेज की जांच करें।

अविनाशी पहुंच

अनुग्रह एक ऐसा तरीका है जिससे किसी मुख्य कुंजी पर कुछ अनुमतियों को किसी प्रिंसिपल को दी जा सकती है। एक ऐसा अनुग्रह देना संभव है जो एक उपयोगकर्ता को अनुग्रह बनाने की अनुमति देता है। इसके अलावा, एक उपयोगकर्ता के पास एक ही कुंजी पर कई अनुग्रह (यहां तक कि एक समान) हो सकते हैं।

इसलिए, एक उपयोगकर्ता के पास 10 अनुग्रह हो सकते हैं जिनमें सभी अनुमतियां होती हैं। हमलावर को इसे निरंतर मॉनिटर करना चाहिए। और यदि किसी समय एक अनुग्रह हटा दिया जाता है, तो दूसरे 10 अनुग्रह उत्पन्न किए जाने चाहिए।

(हम 2 की बजाय 10 का उपयोग कर रहे हैं ताकि पता लगा सकें कि उपयोगकर्ता के पास कोई अनुग्रह हटा दिया गया है जबकि उसके पास अभी भी कुछ अनुग्रह हैं)

# To generate grants, generate 10 like this one
aws kms create-grant \
--key-id <key-id> \
--grantee-principal <user_arn> \
--operations "CreateGrant" "Decrypt"

# To monitor grants
aws kms list-grants --key-id <key-id>