GCP - KMS Privesc
KMS
KMS에 대한 정보:
pageGCP - KMS EnumKMS에서 권한은 Orgs, Folders, Projects뿐만 아니라 Keyrings에서도 상속됩니다.
cloudkms.cryptoKeyVersions.useToDecrypt
cloudkms.cryptoKeyVersions.useToDecrypt
이 권한을 사용하여 해당 키로 정보를 복호화할 수 있습니다.
cloudkms.cryptoKeys.setIamPolicy
cloudkms.cryptoKeys.setIamPolicy
이 권한을 가진 공격자는 키를 사용하여 정보를 복호화하는 데 필요한 권한을 자신에게 부여할 수 있습니다.
cloudkms.cryptoKeyVersions.useToDecryptViaDelegation
cloudkms.cryptoKeyVersions.useToDecryptViaDelegation
다음은 이 위임이 작동하는 방식에 대한 개념적인 설명입니다:
서비스 계정 A는 KMS에서 특정 키를 사용하여 복호화하는 데 직접 액세스 권한이 있습니다.
서비스 계정 B는
useToDecryptViaDelegation
권한을 부여받습니다. 이를 통해 서비스 계정 A를 대신하여 KMS에 데이터 복호화를 요청할 수 있습니다.
이 권한은 KMS 서비스가 권한을 확인하는 방식에서 암묵적으로 사용됩니다.
Google Cloud KMS API(파이썬이나 다른 언어에서)를 사용하여 표준 복호화 요청을 할 때, 서비스는 요청하는 서비스 계정이 필요한 권한을 가지고 있는지 확인합니다. 만약 요청이 useToDecryptViaDelegation
권한을 가진 서비스 계정에 의해 이루어진다면, KMS는 이 계정이 키를 소유한 엔티티를 대신하여 복호화를 요청할 수 있는지 확인합니다.
위임 설정하기
사용자 정의 역할 정의:
custom_role.yaml
이라는 YAML 파일을 생성하여 사용자 정의 역할을 정의합니다. 이 파일에는cloudkms.cryptoKeyVersions.useToDecryptViaDelegation
권한이 포함되어야 합니다. 다음은 이 파일이 어떻게 보일 수 있는지 예시입니다:
gcloud CLI를 사용하여 사용자 정의 역할 생성하기: Google Cloud 프로젝트에서 다음 명령을 사용하여 사용자 정의 역할을 생성하세요:
[YOUR_PROJECT_ID]
를 Google Cloud 프로젝트 ID로 대체하십시오.
서비스 계정에 사용자 정의 역할 부여: 이 권한을 사용할 서비스 계정에 사용자 정의 역할을 할당하십시오. 다음 명령을 사용하십시오:
[YOUR_PROJECT_ID]
와 [SERVICE_ACCOUNT_EMAIL]
를 각각 프로젝트 ID와 서비스 계정의 이메일로 대체하십시오.
最終更新