AWS - S3 Persistence
S3
詳細については、以下を確認してください:
AWS - S3, Athena & Glacier EnumKMSクライアントサイド暗号化
暗号化プロセスが完了すると、ユーザーはKMS APIを使用して新しいキー(aws kms generate-data-key
)を生成し、生成された暗号化キーをファイルのメタデータ内に保存します(pythonコード例)ので、復号化が行われるときに再度KMSを使用して復号化できます:
したがって、攻撃者はメタデータからこのキーを取得し、KMS(aws kms decrypt
)を使用して情報を暗号化するために使用されたキーを取得できます。この方法で、攻撃者は暗号化キーを持ち、そのキーが他のファイルを暗号化するために再利用される場合、使用することができます。
S3 ACLの使用
通常、バケットのACLは無効になっていますが、十分な権限を持つ攻撃者は(有効になっている場合や攻撃者がそれを有効にできる場合)、S3バケットへのアクセスを維持するためにそれらを悪用することができます。
Last updated