GCP - KMS Enum
KMS
Cloud Key Management Service は、暗号化および復号化に使用される暗号鍵などを保存するリポジトリです。個々の鍵は鍵リングに保存され、鍵リングまたは鍵レベルで細かい権限を適用できます。
KMS 鍵リングはデフォルトでグローバルに作成され、その鍵リング内の鍵はどのリージョンからでもアクセス可能です。ただし、特定のリージョンで特定の鍵リングを作成することも可能です。
鍵の保護レベル
ソフトウェア鍵: ソフトウェア鍵は完全にソフトウェアで KMS によって作成および管理されます。これらの鍵はハードウェアセキュリティモジュール (HSM) によって保護されていません そして、テストおよび開発目的に使用できます。ソフトウェア鍵は低いセキュリティを提供し、攻撃に対して脆弱であるため、本番環境での使用は推奨されません。
クラウドホスト型鍵: クラウドホスト型鍵は、高可用性および信頼性の高いインフラストラクチャを使用してクラウド内でKMS によって作成および管理されます。これらの鍵はHSM によって保護されていますが、HSM は特定の顧客に専用ではありません。クラウドホスト型鍵は、ほとんどの本番環境のユースケースに適しています。
外部鍵: 外部鍵はKMS の外部で作成および管理され、暗号化操作に使用するために KMS にインポートされます。外部鍵は顧客の好みに応じて、ハードウェアセキュリティモジュール (HSM) またはソフトウェアライブラリに保存できます。
鍵の目的
対称暗号化/復号化: 単一の鍵を使用してデータを暗号化および復号化するために使用されます。対称鍵は、大量のデータを暗号化および復号化するために迅速かつ効率的です。
非対称署名: 鍵を共有せずに二者間の安全な通信に使用されます。非対称鍵は、公開鍵と秘密鍵のペアで構成されています。公開鍵は他者と共有され、秘密鍵は秘密に保たれます。
非対称復号化: メッセージやデータの真正性を検証するために使用されます。デジタル署名は秘密鍵を使用して作成され、対応する公開鍵を使用して検証できます。
MAC 署名: 秘密鍵を使用してメッセージ認証コード (MAC) を作成することにより、データの完全性と真正性を保証するために使用されます。HMAC は、ネットワークプロトコルやソフトウェアアプリケーションでのメッセージ認証に一般的に使用されます。
回転期間 & 破壊予定期間
デフォルトでは、各90日ですが、簡単にかつ完全にカスタマイズ可能です。
「破壊予定」期間は、ユーザーが鍵の削除を要求してから鍵が削除されるまでの時間です。鍵が作成された後は変更できません(デフォルトは1日)。
プライマリバージョン
各 KMS 鍵には複数のバージョンがあり、そのうちの1つがデフォルトでなければなりません。これは、KMs 鍵とのやり取りをする際にバージョンが指定されていない場合に使用されるものです。
列挙
鍵のリストを表示する権限がある場合、これがアクセス方法です:
権限昇格
pageGCP - KMS Privesc攻撃後の活動
pageGCP - KMS Post Exploitation参考文献
最終更新