S3

अधिक जानकारी के लिए देखें:

KMS Client-Side Encryption

जब एन्क्रिप्शन प्रक्रिया पूरी हो जाती है, उपयोगकर्ता KMS API का उपयोग करके एक नई कुंजी उत्पन्न करेगा (aws kms generate-data-key) और वह उत्पन्न की गई एन्क्रिप्टेड कुंजी को फाइल के मेटाडेटा के अंदर स्टोर करेगा (python कोड उदाहरण) ताकि जब डिक्रिप्टिंग हो तो वह इसे KMS का उपयोग करके फिर से डिक्रिप्ट कर सके:

इसलिए, एक हमलावर इस कुंजी को मेटाडेटा से प्राप्त कर सकता है और KMS के साथ डिक्रिप्ट कर सकता है (aws kms decrypt) जिससे उसे एन्क्रिप्शन के लिए उपयोग की गई कुंजी मिल जाएगी। इस तरह हमलावर के पास एन्क्रिप्शन कुंजी होगी और यदि वह कुंजी अन्य फाइलों को एन्क्रिप्ट करने के लिए पुन: उपयोग की जाती है तो वह इसे उपयोग कर सकता है।

S3 ACLs का उपयोग करना

हालांकि आमतौर पर बकेट्स के ACLs निष्क्रिय होते हैं, पर्याप्त अधिकारों वाला एक हमलावर उनका दुरुपयोग कर सकता है (यदि सक्षम हो या यदि हमलावर उन्हें सक्षम कर सकता है) S3 बकेट तक पहुंच बनाए रखने के लिए।