AWS - Secrets Manager Enum

AWS Secrets Manager

AWS Secrets Manager jest zaprojektowany, aby wyeliminować użycie zakodowanych na stałe sekretów w aplikacjach, zastępując je wywołaniem API. Ta usługa służy jako centralne repozytorium dla wszystkich twoich sekretów, zapewniając ich jednolite zarządzanie we wszystkich aplikacjach.

Manager upraszcza proces rotacji sekretów, znacznie poprawiając bezpieczeństwo wrażliwych danych, takich jak poświadczenia bazy danych. Dodatkowo, sekrety takie jak klucze API mogą być automatycznie rotowane dzięki integracji z funkcjami lambda.

Dostęp do sekretów jest ściśle kontrolowany przez szczegółowe polityki oparte na tożsamości IAM i polityki oparte na zasobach.

Aby przyznać dostęp do sekretów użytkownikowi z innego konta AWS, konieczne jest:

1. Autoryzacja użytkownika do dostępu do sekretu.

2. Przyznanie użytkownikowi uprawnień do odszyfrowania sekretu za pomocą KMS.

3. Modyfikacja polityki klucza, aby umożliwić zewnętrznemu użytkownikowi jego użycie.

AWS Secrets Manager integruje się z AWS KMS, aby zaszyfrować twoje sekrety w AWS Secrets Manager.

Enumeration

aws secretsmanager list-secrets #Get metadata of all secrets
aws secretsmanager list-secret-version-ids --secret-id <secret_name> # Get versions
aws secretsmanager describe-secret --secret-id <secret_name> # Get metadata
aws secretsmanager get-secret-value --secret-id <secret_name> # Get value
aws secretsmanager get-secret-value --secret-id <secret_name> --version-id <version-id> # Get value of a different version
aws secretsmanager get-resource-policy --secret-id --secret-id <secret_name>

Privesc

Post Exploitation

Persistence